- Мошенники рассылают бумажные письма владельцам криптокошельков Trezor и Ledger с фальшивыми запросами на верификацию.
- В письмах содержатся QR-коды, ведущие на фишинговые сайты, где злоумышленники требуют ввести seed-фразу для кражи средств.
- Производители кошельков никогда не запрашивают seed-фразы через сайты или письма, вводить их нужно только на самом устройстве.
Эксперты по информационной безопасности выявили новую волну фишинговых атак, направленных на пользователей аппаратных криптокошельков Trezor и Ledger. В отличие от привычных электронных рассылок, злоумышленники начали использовать офлайн-метод — бумажные письма, выполненные на официальных бланках компаний. Эти письма представляют собой поддельные уведомления от служб безопасности, в которых пользователям якобы предлагают пройти обязательную процедуру проверки аутентичности или транзакций. Для этого жертвам предлагают отсканировать QR-код и перейти на специальный сайт, где необходимо ввести конфиденциальные данные.
Исследователь Дмитрий Смилянец, эксперт в области кибербезопасности, сообщил о том, что получил такое письмо от имени Trezor с поддельным требованием верифицироваться до 15 февраля 2026 года. Аналогичные сообщения поступали и владельцам Ledger с крайней датой 15 октября 2025 года. Общей чертой всех писем является создание искусственного чувства срочности, заставляющего пользователей принимать поспешные решения и переходить по вредоносным ссылкам.
QR-коды в письмах ведут на сайты, имитирующие официальные страницы настройки и верификации кошельков. Несмотря на блокировку некоторых доменов, один из основных фишинговых ресурсов для Trezor оставался активным на момент расследования. Фишинговые сайты используют психологическое давление: они предупреждают о якобы грядущих ограничениях доступа, ошибках при подписании транзакций и проблемах с обновлениями, чтобы заверить пользователя в необходимости срочных действий.
На финальном этапе «проверки» пользователей просят ввести свои seed-фразы — ключевые фразы, состоящие из 12, 20 или 24 слов. Эти данные оказываются незамедлительно доступны злоумышленникам, что даёт им полный контроль над криптовалютными активами жертв.
Специалисты подчёркивают, что переход к офлайн‑методам атак — не новая практика. Уже в 2021 году мошенники рассылали поддельные устройства Ledger, которые похищали данные при первом запуске. Весной 2025 года подобные бумажные письма уже фиксировались пользователями. Предположительно, адреса получателей писем могли быть собраны из утечек клиентских баз Trezor и Ledger.
В целях безопасности специалисты настоятельно рекомендуют никому не отправлять и не вводить seed-фразы вне устройства, а также не переходить по ссылкам из подобных писем и не сканировать содержащиеся в них QR-коды. Правильная практика — уничтожать подозрительную корреспонденцию и обращаться только к официальным источникам информации, чтобы избежать потери цифровых активов.
