Usuários das carteiras Ledger e Trezor estão sendo alvo de uma nova campanha de roubo de criptomoedas. Segundo as autoridades, golpistas de criptomoedas intensificaram suas atividades, abandonando o modelo anterior de ataques a usuários de carteiras de hardware.
De acordo com relatos, criminosos estão agora enviando cartas físicas para a casa dos usuários dessas carteiras, fingindo serem da Trezor e Ledger. O objetivo é enganar os usuários para que forneçam suas frases de recuperação das carteiras, que então são usadas para realizar o roubo. As cartas afirmam que os destinatários devem passar por verificações obrigatórias ou checagens de transações para evitar perder o acesso a funcionalidades da carteira. Os golpistas usam isso para criar um senso de urgência e pressionar as vítimas a escanearem QR codes que direcionam para sites maliciosos.
Usuários da Ledger e Trezor são alvos de golpe de QR code via correspondência física
Segundo relatos, usuários das carteiras de hardware confirmaram o recebimento dessas cartas impressas em papel timbrado que imitam comunicações oficiais das equipes de segurança e conformidade da Ledger e Trezor. Não está claro como os usuários estão sendo selecionados, mas ambas as empresas já sofreram vazamentos anteriormente. Esses vazamentos resultaram em consideráveis informações de usuários comprometidas. A violação mais recente ocorreu na Ledger, onde dados de usuários foram roubados no mês passado.
Na carta recebida por usuários da Trezor e verificada pelo especialista em cibersegurança Dmitry Smilyanets, os criminosos alegaram que as verificações de autenticação se tornariam parte obrigatória da Trezor e instaram os usuários a concluir o processo até 15 de fevereiro ou correriam o risco de perder certas funções em seus dispositivos. A carta afirmava que os usuários deveriam escanear o QR code contido na carta e seguir as instruções para não perder o acesso ao Trezor Suite.
“Nota: Embora você já possa ter recebido a notificação em seu dispositivo Trezor e habilitado a Checagem de Autenticação, ainda é necessário concluir este processo para ativar totalmente o recurso e garantir que seu dispositivo esteja sincronizado com a funcionalidade completa da Checagem de Autenticação,” dizia a carta da Trezor. Enquanto isso, uma carta semelhante enviada a usuários da Ledger foi compartilhada na plataforma de blogs X, alegando que os usuários estariam sujeitos a uma checagem obrigatória de transação com o mesmo prazo.
Empresas de carteiras de hardware emitem alertas aos usuários
Segundo relatos, ao escanear o QR code, os usuários são direcionados a sites de phishing criados por golpistas para imitar os domínios oficiais da Trezor e Ledger. Atualmente, o site de phishing da Ledger está fora do ar, enquanto o da Trezor continua ativo. No entanto, o site da Trezor foi sinalizado como phishing. “Os invasores no site que você tentou acessar podem tentar induzi-lo a instalar softwares ou revelar informações como suas senhas, números de telefone ou números de cartão de crédito. O Chrome recomenda fortemente voltar para sua segurança”, dizia o site.
Antes de o site da Trezor ser sinalizado, ele exibia um alerta dizendo que os usuários precisavam concluir a checagem de autorização até 15 de fevereiro para ficarem seguros. No entanto, ressaltava que os usuários que adquiriram Trezor Safe 7, Trezor Safe 3, Trezor Safe 1 e Trezor Safe 5 não precisam concluir as verificações, pois as carteiras já estão pré-configuradas. A página inicial apresenta um botão ‘Começar’ que leva a outro aviso sobre a falha em concluir o processo de autenticação.
Esses alertas foram projetados para criar ainda mais urgência, levando as vítimas a prosseguir para a próxima etapa do processo sem reconsiderar. Caso as vítimas avancem, a próxima página solicita que insiram suas frases de recuperação, alegando que essa informação é necessária para autenticar e verificar a propriedade do dispositivo. No entanto, uma vez inserida a frase de recuperação, ela é transmitida aos golpistas por meio de um endpoint de API no backend.
As frases de recuperação das carteiras de hardware representam as chaves privadas que controlam o acesso às carteiras de criptomoedas. Isso significa que qualquer pessoa com acesso a essas frases poderá obter controle total sobre a carteira e os fundos nela. Fabricantes de carteiras de hardware como Trezor e Ledger sempre alertaram os usuários para nunca compartilharem essas frases, pois eles nunca as solicitarão em nenhuma circunstância. Frases de recuperação devem ser inseridas apenas nos dispositivos das carteiras de hardware.
