Мошенники рассылают фишинговые письма по обычной почте от имени Trezor и Ledger, чтобы украсть криптовалюту. В письмах содержатся QR-коды, ведущие на поддельные сайты, где жертв просят ввести мнемоническую фразу восстановления кошелька. — bleepingcomputer.com
Злоумышленники рассылают физические письма, выдавая себя за Trezor и Ledger, производителей аппаратных кошельков для криптовалют, чтобы обманом заставить пользователей раскрыть мнемонические фразы в рамках атак по краже криптовалюты.
В этих фишинговых письмах утверждается, что получатели должны пройти обязательную “Проверку аутентификации” или “Проверку транзакций”, чтобы избежать потери доступа к функционалу кошелька, создавая ощущение срочности и оказывая давление на жертв с целью заставить их сканировать QR-коды, ведущие на вредоносные веб-сайты.
QR-коды в письмах: новая схема криптомошенничества
Пользователи аппаратных кошельков сообщают о получении писем обычной почтой, напечатанных на фирменных бланках, которые имитируют официальные сообщения от команд безопасности и соответствия Trezor и Ledger.
Неясно, по каким критериям осуществляется таргетинг этих писем, однако и Trezor, и Ledger [2] за последние пару лет пережили утечки данных, которые раскрыли контактную информацию клиентов.
Письмо, имитирующее Trezor, полученное экспертом по кибербезопасности Дмитрием Смилянцем, утверждает, что “Проверка аутентификации скоро станет обязательной частью Trezor”, предупреждая пользователей о необходимости завершить процесс до 15 февраля 2026 года, иначе они рискуют потерей функционала на своих устройствах.
“Чтобы избежать каких-либо перебоев в доступе к Trezor Suite, пожалуйста, отсканируйте QR-код с помощью мобильного устройства и следуйте инструкциям на нашем веб-сайте, чтобы включить Проверку аутентификации до 15 февраля 2026 года”, — говорится в поддельном письме Trezor.
“Примечание: Даже если вы уже получили уведомление на своем устройстве Trezor и включили Проверку аутентификации, завершение этого процесса по-прежнему необходимо для полной активации функции и обеспечения синхронизации вашего устройства с полным функционалом Проверки аутентификации.”
Аналогичное письмо в стиле Ledger было опубликовано в X, где утверждалось, что “Проверка транзакций” скоро станет обязательной, и пользователям рекомендовалось отсканировать QR-код для включения функции до 15 октября 2025 года, чтобы избежать сбоев.
Сканирование QR-кодов ведет жертв на фишинговые сайты, имитирующие официальные страницы настройки Trezor и Ledger, включая:
- https://trezor.authentication-check[.]io/
- https://ledger.setuptransactioncheck[.]com/
На момент написания статьи фишинговый домен Ledger был отключен, в то время как фишинговый сайт Trezor остается активным, но теперь помечен Cloudflare как фишинговый.
Фишинговая страница Trezor отображает предупреждение о том, что пользователи должны завершить проверку аутентификации до 15 февраля 2026 года, заявляя:
“Завершите настройку Проверки аутентификации до 15 февраля 2026 года, если вы не приобрели Trezor Safe 7, Trezor Safe 5, Trezor Safe 3 или Trezor Safe 1 после 30 ноября 2025 года. В этом случае он уже предварительно настроен, и никаких действий не требуется”, — говорится на фишинговом сайте.
Нажатие кнопки “Начать” ведет на другую страницу, которая предупреждает пользователей, что невыполнение процесса аутентификации может привести к ограниченному или заблокированному доступу к Trezor, ошибкам подписи транзакций и сбоям при будущих обновлениях Trezor.
Эти предупреждения призваны создать дополнительное чувство срочности, чтобы жертвы продолжили следующий этап процесса настройки.
Если жертвы соглашаются, их перенаправляют на финальную фишинговую страницу, где их просят ввести мнемоническую фразу восстановления кошелька.
Страница позволяет пользователям вводить мнемонические фразы из 24, 20 или 12 слов и утверждает, что эта информация необходима для проверки владения устройством и включения функции аутентификации.
После ввода мнемоническая фраза передается злоумышленнику через бэкэнд API endpoint по адресу https://trezor.authentication-check[.]io/black/api/send.php.
Это позволяет злоумышленникам импортировать кошелек жертвы на свои устройства и красть средства из кошелька.
Хотя фишинговые электронные письма, направленные на Trezor, и пользователей Ledger, являются распространенными, кампании фишинга с использованием обычной почты остаются относительно редкими.
В 2021 году злоумышленники отправляли модифицированные устройства Ledger, предназначенные для кражи мнемонических фраз во время настройки.
Похожая почтовая фишинговая кампания также была зафиксирована в апреле, нацеленная на пользователей Ledger.
Никогда не делитесь мнемоническими фразами
Мнемонические фразы аппаратных кошельков, также известные как сид-фразы, представляют собой текстовые представления приватных ключей, которые контролируют доступ к криптовалютным кошелькам.
Следовательно, любой, кто имеет доступ к мнемонической фразе кошелька, получает полный контроль над кошельком и его средствами.
Производители аппаратных кошельков, такие как Trezor и Ledger, никогда не просят пользователей вводить, сканировать, загружать или делиться своими мнемоническими фразами.
Мнемонические фразы следует вводить непосредственно на устройстве аппаратного кошелька при восстановлении кошелька, и никогда — на компьютере, мобильном устройстве или веб-сайте.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lawrence Abrams