Besitzer von Hardware-Kryptowallets wie Trezor und Ledger sehen sich aktuell mit einer untypischen Phishing-Kampagne konfrontiert: Anstelle klassischer Spam-Mails setzen Angreifer auf professionell gestaltete Papierbriefe, die angeblich von den Sicherheitsabteilungen der Hersteller stammen. Ziel ist es, die Seed-Phrase der Nutzer zu erbeuten und damit die vollständige Kontrolle über deren Krypto-Assets zu übernehmen.
Neue Phishing-Masche: Papierpost an Besitzer von Hardware-Wallets
Betroffene berichten von Umschlägen mit sauber formatierten Schreiben, die Logo, Corporate Design und Tonalität von Trezor oder Ledger täuschend echt nachahmen. Die Anschreiben wirken wie offizielle Sicherheitsmitteilungen und bauen Vertrauen auf, indem sie auf den ersten Blick nicht von echter Herstellerkommunikation zu unterscheiden sind.
Inhaltlich wird eine angeblich neue, verpflichtende Sicherheitsprüfung beschrieben – etwa eine „Authentifizierungsprüfung“ oder „Transaktionsverifizierung“. Nutzer sollen einen beigefügten QR-Code scannen und bis zu einem bestimmten Stichtag eine Online-Verifikation durchführen, andernfalls würden Funktionen des Wallets eingeschränkt.
In einem dokumentierten Schreiben im Namen von Trezor war als Frist der 15. Februar 2026 angegeben, in Briefen „von Ledger“ der 15. Oktober 2025. Solche konkreten Deadlines erzeugen künstlichen Druck und nutzen typische Muster der Social-Engineering-Psychologie: Zeitdruck senkt die Bereitschaft, Details wie die URL oder den Absender kritisch zu prüfen.
Von QR-Code zur Seed-Phrase: Ablauf der Attacke im Detail
Die im Brief enthaltenen QR-Codes führen auf täuschend echt gestaltete Phishing-Websites, die den offiziellen Seiten von Trezor und Ledger nachempfunden sind. Layout, Farbgebung, Navigation und Wortwahl sind so gewählt, dass sie vor allem weniger technikaffine Nutzer in falscher Sicherheit wiegen – insbesondere, wenn diese die Adresszeile des Browsers nicht genau kontrollieren.
Auf den gefälschten Seiten werden vermeintliche Risiken beschrieben: mögliche Fehler bei der Transaktionssignatur, Einschränkungen in der Nutzung des Wallets oder angebliche Probleme bei Firmware-Updates. Als letzte „Sicherheitsmaßnahme“ wird der Nutzer schließlich aufgefordert, zur Bestätigung des Eigentums seine Seed-Phrase mit 12, 20 oder 24 Wörtern einzugeben.
Teilweise wird erklärt, dass die Einrichtung der neuen „Authentifizierungsprüfung“ nur bis zu einem bestimmten Datum notwendig sei, während Geräte, die danach gekauft wurden, angeblich bereits vorkonfiguriert seien. Solche Formulierungen orientieren sich an der gewohnten Logik von Firmware-Versionen und Geräterevisionen und erhöhen den Anschein von Legitimität.
Nach der Eingabe wird die Seed-Phrase direkt über Backend- oder API-Schnittstellen an die Angreifer übermittelt. Da die Seed-Phrase der Master-Schlüssel für sämtliche Krypto-Assets eines Wallets ist, ermöglicht deren Kompromittierung den vollständigen Zugriff auf alle Konten und die sofortige, unwiderrufliche Leerung der Wallets.
Warum Cyberkriminelle auf Offline-Phishing umsteigen
Der Einsatz von Papierbriefen in Phishing-Kampagnen gegen Krypto-Nutzer ist Teil einer breiteren Entwicklung. Schon früher wurden Fälle dokumentiert, in denen unter dem Vorwand von Ledger-Support angeblich „Ersatzgeräte“ verschickt wurden, die manipulierte Hardware oder Firmware enthielten. Im Frühjahr 2025 wurden zudem gefälschte Papierbenachrichtigungen an Besitzer von Hardware-Wallets bekannt, die auf ähnliche Weise vorgingen.
Offline-Kanäle umgehen viele etablierte Schutzmechanismen: Spam-Filter, Anti-Phishing-Engines von Mail-Providern und zentrale Sicherheitslösungen in Unternehmen greifen hier nicht. Ein physischer Brief, der mit echten personenbezogenen Daten adressiert ist, wirkt auf viele Empfänger vertrauenswürdiger als eine E-Mail und wird seltener hinterfragt.
Rolle von Datenlecks und gezieltem Targeting
Ein zentrales Element dieser Kampagnen ist die Qualität der Adresslisten. Hersteller und Händler von Hardware-Wallets waren in der Vergangenheit wiederholt von Datenlecks betroffen. Öffentlich bekannte Vorfälle – etwa das Datenleck bei Ledger im Jahr 2020, bei dem unter anderem Kundendaten wie E-Mail-Adressen und in zahlreichen Fällen auch Postanschriften veröffentlicht wurden – zeigen, wie wertvoll solche Informationen für Angreifer sind.
Verfügen Kriminelle über Namen und physische Adressen, können sie hochgradig zielgerichtete Offline-Angriffe durchführen. Personalisierte Briefe, die exakt auf Krypto-Nutzer zugeschnitten sind, erhöhen die Wahrscheinlichkeit, dass Betroffene QR-Codes scannen oder Links aufrufen, ohne deren Echtheit zu überprüfen. Analysen von Sicherheitsforschern und Blockchain-Forensikfirmen belegen, dass Social-Engineering- und Phishing-Angriffe jährlich Schäden in Milliardenhöhe verursachen und gezielt auf solche Schwachstellen in der Nutzerwahrnehmung abzielen.
Best Practices: So schützen Sie Trezor- und Ledger-Wallets vor Offline-Angriffen
Das wichtigste Sicherheitsprinzip bleibt unverändert: Kein seriöser Hersteller von Hardware-Wallets fordert jemals Ihre vollständige Seed-Phrase per E-Mail, Brief, Telefon oder Web-Formular an. Eine Seed-Eingabe ist ausschließlich auf dem Gerät selbst oder im Rahmen eines bewusst initiierten Recovery-Prozesses in offiziell bezogener Software zulässig.
Nutzer sollten alle Mitteilungen, die von „Sicherheitsüberprüfungen“, „Authentifizierungsprüfungen“ oder „dringenden Verifizierungen“ sprechen, grundsätzlich hinterfragen – insbesondere, wenn sie unerwartet erfolgen. Eine sichere Praxis besteht darin, Webadressen immer manuell in den Browser einzugeben und sicherheitsrelevante Informationen nur über die offiziellen Support- und News-Bereiche der Hersteller zu prüfen, statt QR-Codes oder Links aus Schreiben zu verwenden.
Jedes Papierdokument, das zur schnellen Verifikation, zum „Update“ über eine externe Seite oder gar zur Eingabe einer Seed-Phrase auffordert, sollte als potenziell schädlich betrachtet werden. Solche Schreiben sollten sicher entsorgt und enthaltene QR-Codes nicht gescannt werden.
Zusätzlich empfehlen Sicherheitsexperten erweiterte Schutzmaßnahmen für Menschen mit größeren Krypto-Beständen: die Nutzung einer zusätzlichen BIP39-Passphrase, die Aufteilung größerer Beträge auf mehrere unabhängige Wallets, die Trennung von „Hot“- und „Cold“-Speichern sowie einen regelmäßigen Sicherheits-Review der eigenen Geräte, Backup-Strategien und Zugangsdaten.
Die Zunahme ausgefeilter Phishing-Angriffe, die Online- und Offline-Kanäle kombinieren, zeigt, wie schnell sich Angreifer an neue Sicherheitsmaßnahmen anpassen. Wer Hardware-Wallets nutzt, sollte seine digitale Hygiene regelmäßig überprüfen, jede scheinbar „offizielle“ Korrespondenz kritisch betrachten und sich kontinuierlich über aktuelle Social-Engineering-Methoden informieren. Dieses Wissen, kombiniert mit konsequenter Praxis – insbesondere dem strikten Schutz der eigenen Seed-Phrase – ist der wirksamste Weg, um langfristig die Kontrolle über die eigenen Krypto-Assets zu bewahren.
