Криптомошенники перешли в «офлайн»: владельцам Trezor и Ledger рассылают фишинговые письма по обычной почте

Новый виток угроз: физические письма вместо email

В среде владельцев аппаратных криптовалютных кошельков, таких как Trezor и Ledger, отмечена новая, более изощренная волна фишинговых атак. Злоумышленники отказались от исключительно электронных каналов связи, начав рассылать получателям физические письма, имитирующие официальные уведомления от производителей устройств. Этот переход к использованию традиционной почты призван повысить доверие жертв, поскольку получение бумажного документа с домашним адресом создает ложное ощущение легитимности операции.

Основная цель этих мошеннических посланий остается неизменной: выманить у пользователя seed-фразу — секретный набор из 12 или 24 слов, который является единственным ключом к криптовалютным активам на кошельке. Эксперты по кибербезопасности указывают, что данный метод опирается на психологическое давление и создание искусственного чувства срочности.

Схемы убеждения и тактика мошенников

Письма, замеченные в рассылке, оформлены с использованием фирменной символики Trezor и Ledger и содержат формулировки, нацеленные на испуг пользователя. В частности, получателей уведомляют о якобы критически важном процессе — «Проверке аутентификации» (Authentication Check) или «Проверке транзакций» (Transaction Check).

В сообщениях содержится ультиматум: необходимо пройти верификацию до определенной, часто близкой, даты, иначе доступ к функциям кошелька или даже ко всем средствам будет ограничен. В одном из зафиксированных случаев от имени Trezor пользователю устанавливали крайний срок 15 февраля 2026 года, а в письмах от имени Ledger фигурировала дата 15 октября 2025 года. Такая срочность, как правило, отключает критическое мышление потенциальной жертвы.

Ключевым элементом схемы является QR-код. Сканирование этого кода перенаправляет пользователя на вредоносный веб-сайт, который является точной копией (клоном) официальной страницы настройки устройства. Именно там, под предлогом «подтверждения владения» или «синхронизации», мошенники просят ввести драгоценную seed-фразу.

Производители аппаратных кошельков многократно подчеркивали: они никогда и ни при каких обстоятельствах не запрашивают seed-фразу ни в письмах, ни по телефону, ни через мессенджеры. Любая операция по вводу этой фразы должна осуществляться исключительно на физическом экране самого аппаратного устройства при процедуре восстановления.

Эволюция угроз и возможные источники данных

Переход мошенников к физической почте — это тревожная эволюция атак, которая позволяет обойти традиционные средства защиты, такие как спам-фильтры электронной почты. Схема опирается на то, что физический документ воспринимается как нечто более надежное и официальное, чем электронное сообщение.

Специалисты предполагают, что домашние адреса жертв могли быть получены в результате крупных утечек данных из баз данных ритейлеров или сторонних сервисов, которые ранее имели доступ к информации о покупках криптовалютных аксессуаров. В прошлом, например, компания Ledger сама подтверждала компрометацию данных части своих покупателей, включая адреса доставки.

Стоит отметить, что это не первая «офлайн»-попытка. Ранее фиксировались случаи, когда злоумышленники рассылали покупателям поддельные, модифицированные устройства Ledger, которые похищали данные уже на этапе первичной настройки.

Последствия и рекомендации для криптосообщества

Получение злоумышленниками seed-фразы моментально предоставляет им полный и безоговорочный контроль над всеми активами, хранящимися на соответствующем кошельке. В отличие от попыток взлома самого устройства, здесь жертва фактически добровольно передает ключи от своих сбережений.

В свете этой новой угрозы эксперты настоятельно рекомендуют пользователям:

• Немедленно уничтожать любые подозрительные физические письма, требующие взаимодействия с seed-фразой.
• Категорически игнорировать любые ссылки и QR-коды из таких сообщений.
• Никогда и нигде не вводить фразу восстановления на компьютере, смартфоне или любом веб-сайте.
• При возникновении сомнений обращаться только к официальным каналам поддержки Trezor и Ledger (их официальные сайты и блоги).

Безопасность криптовалютных активов в условиях таких изощренных атак по-прежнему зависит от бдительности самого пользователя и строгого соблюдения правил «цифровой гигиены», даже когда угроза приходит по старому доброму почтовому ящику.