Golpistas estão enviando cartas físicas fingindo ser da Trezor e da Ledger, fabricantes de hardware wallets para criptomoedas, numa tentativa de enganar usuários e obter suas frases de recuperação em ataques de roubo de criptoativos.
As cartas de phishing afirmam que os destinatários precisam realizar uma "Authentication Check" (verificação de autenticação) ou "Transaction Check" (verificação de transação) obrigatória, sob a ameaça de perder o acesso às funções da carteira.
O objetivo é criar um senso de urgência, pressionando as vítimas a escanear códigos QR que direcionam a sites maliciosos.
Usuários de hardware wallets relataram o recebimento de correspondências impressas em papel timbrado, que imitam comunicações oficiais das equipes de segurança e compliance da Trezor e da Ledger.
Ainda não está claro como as vítimas são selecionadas para o envio dessas cartas, mas Trezor e Ledger sofreram vazamentos de dados nos últimos anos, expondo informações de contato dos clientes.
Um exemplo detectado pelo especialista em cibersegurança Dmitry Smilyanets é uma carta falsificada da Trezor que afirma que a “Authentication Check” será obrigatória a partir de 15 de fevereiro de 2026.
A carta alerta os usuários para completarem essa verificação a fim de não perderem funcionalidades nos dispositivos.
O texto falso instruía: “Para evitar qualquer interrupção no acesso ao Trezor Suite, por favor, escaneie o código QR com seu dispositivo móvel e siga as instruções em nosso site para ativar a Authentication Check até 15 de fevereiro de 2026.”
Ainda segundo a carta, mesmo que o usuário já tenha sido notificado pelo dispositivo e ativado a autenticação, o processo deve ser concluído para garantir a sincronização completa da função.
Uma carta semelhante, com tema Ledger, circulou na rede social X, afirmando que a "Transaction Check" será obrigatória a partir de 15 de outubro de 2025, também com convite para escanear um QR code para ativação.
Os códigos QR nas cartas levam as vítimas a sites de phishing que imitam páginas oficiais de configuração da Trezor e da Ledger, como:
- https://trezor.authentication-check[.]io/
- https://ledger.setuptransactioncheck[.]com/
No momento desta apuração, o domínio de phishing relacionado à Ledger está offline, enquanto o site falso da Trezor ainda está ativo, embora sinalizado pelo Cloudflare como phishing.
A página falsa da Trezor destaca que a configuração da Authentication Check deve ser concluída até 15 de fevereiro de 2026, exceto para modelos adquiridos após 30 de novembro de 2025, supostamente já pré-configurados.
Ao clicar em "Get Started", o usuário é direcionado a outra página que o ameaça com possíveis restrições de acesso, erros na assinatura de transações e interrupções nas futuras atualizações da Trezor caso o processo não seja concluído — uma tática clara para aumentar a sensação de urgência.
Na etapa final, a vítima é orientada a inserir sua frase de recuperação (seed phrase), que pode conter 24, 20 ou 12 palavras, sob a justificativa falsa de que isso é necessário para verificar a propriedade do dispositivo e ativar a autenticação.
As frases digitadas são enviadas a um servidor controlado pelos criminosos por meio da API https://trezor.authentication-check[.]io/black/api/send.php.
Com esses dados, os atacantes conseguem importar a carteira para seus próprios dispositivos e roubar os fundos.
Embora ataques de phishing via e-mail contra usuários da Trezor e da Ledger sejam comuns, campanhas físicas por correspondência são mais raras.
Em 2021, criminosos enviaram dispositivos Ledger adulterados para capturar frases de recuperação durante a configuração.
Em abril deste ano, outra campanha postal semelhante foi reportada contra usuários da Ledger.
As frases de recuperação são representações textuais das chaves privadas que garantem o controle total das carteiras de criptoativos.
Por isso, quem tiver acesso a essas frases pode controlar e esvaziar as carteiras.
Fabricantes como Trezor e Ledger jamais solicitam que usuários digitem, escaneiem, enviem ou compartilhem suas frases de recuperação.
O correto é inserir essas frases diretamente no próprio hardware wallet durante o processo de restauração, nunca em computadores, celulares ou sites online.
Diante desse cenário, é fundamental que usuários redobrem a atenção a comunicações suspeitas, especialmente às que pressionam para ações urgentes e envolvem o compartilhamento da frase de recuperação.
Manter práticas rigorosas de segurança é o melhor caminho para evitar perdas em criptoativos.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...