Os cibercriminosos estão a enviar cartas físicas a fazerem-se passar pela Trezor e pela Ledger, fabricantes de carteiras de hardware para criptomoedas, com o objetivo de enganar os utilizadores e roubar as suas frases de recuperação. Estas comunicações enviadas por correio tradicional alegam que os destinatários devem concluir uma verificação obrigatória para evitar a perda de acesso às funcionalidades da carteira. O falso alerta cria um sentido de urgência desenhado para forçar as vítimas a digitalizar códigos QR que as direcionam para websites maliciosos.
O esquema do código QR por correio
Os utilizadores destas carteiras físicas relatam ter recebido cartas impressas em papel timbrado que imitam na perfeição as comunicações oficiais das equipas de segurança e conformidade da Trezor e da Ledger. Embora os critérios exatos de seleção dos alvos não sejam totalmente conhecidos, sabe-se que ambas as empresas sofreram violações de dados nos últimos anos, o que expôs as informações de contacto de vários clientes.
Uma carta a fazer-se passar pela Trezor, recebida pelo especialista em cibersegurança Dmitry Smilyanets e partilhada no X, afirma que uma verificação de autenticação será em breve obrigatória. O documento avisa os utilizadores para concluírem o processo até ao dia 15 de fevereiro de 2026, ou arriscam-se a perder as funcionalidades dos seus dispositivos. A mensagem instrui a vítima a digitalizar o código QR com o seu telemóvel e a seguir os passos indicados.
Uma carta semelhante, mas com o tema da Ledger, foi também divulgada na rede social X. O documento alega que uma verificação de transação se tornará obrigatória e pressiona os clientes a ativar a funcionalidade até 15 de outubro de 2025 para evitar interrupções de serviço.
Ao digitalizar os códigos QR, as vítimas são reencaminhadas para páginas de phishing criadas para imitar os sites oficiais de configuração de ambas as marcas. De momento, os domínios maliciosos associados à Ledger encontram-se offline, mas a página falsa da Trezor continua ativa, embora já esteja assinalada pela Cloudflare como um site de burla.
A página falsa da Trezor apresenta um aviso grave de que a configuração tem de ser feita até 15 de fevereiro de 2026, a menos que o utilizador tenha comprado um modelo recente após 30 de novembro de 2025. Ao clicar no botão para iniciar o processo, surge um novo alerta desenhado para causar pânico, ameaçando com erros de assinatura de transação e o bloqueio de acesso ao equipamento. Se a vítima ceder à pressão e avançar, chega à página final onde lhe é pedido que introduza a sua frase de recuperação de 12, 20 ou 24 palavras. Esta informação sensível é depois enviada para os atacantes através de uma API oculta no servidor, permitindo-lhes importar a carteira num equipamento próprio e roubar imediatamente todos os fundos.
Nunca partilhes a frase de recuperação
Embora as campanhas de phishing por email sejam um problema diário para os utilizadores destas plataformas, os ataques através de correio tradicional continuam a ser uma tática mais invulgar e elaborada. Contudo, não é um método inédito: em 2021, os atacantes chegaram a enviar por via postal dispositivos Ledger fisicamente modificados, desenhados especificamente para roubar as frases durante a primeira configuração. Uma campanha semelhante por carta foi também detetada em abril.
As frases de recuperação das carteiras de hardware, frequentemente referidas como "seed phrases", são representações em texto das chaves privadas que garantem e controlam o acesso aos fundos na blockchain. Qualquer pessoa que tenha acesso a este conjunto de palavras obtém o controlo absoluto sobre a conta.
Os fabricantes oficiais, como a Trezor e a Ledger, nunca pedem aos seus utilizadores para introduzir, digitalizar, carregar ficheiros ou partilhar a sua frase de recuperação em plataformas externas. Estas palavras de segurança devem ser introduzidas de forma exclusiva e direta no próprio dispositivo físico (através do ecrã e dos botões do hardware) no momento de restaurar uma conta, e nunca num teclado de computador, telemóvel ou em qualquer página web.
Nenhum comentário
Seja o primeiro!