Владельцы аппаратных криптовалютных кошельков Trezor и Ledger столкнулись с нетипичной фишинговой кампанией: вместо привычных мошеннических писем на электронную почту злоумышленники используют классическую почтовую рассылку на бумаге. Цель атаки предсказуема — получить seed-фразы пользователей и полностью завладеть их цифровыми активами, однако техника выполнения и уровень маскировки заслуживают отдельного внимания.
Фишинг через бумажные письма: как выглядит атака на владельцев Trezor и Ledger
Получатели сообщают о конвертах с тщательно оформленными письмами, выполненными якобы от имени служб безопасности Trezor и Ledger. Используются логотипы брендов, фирменный стиль и официально звучащие формулировки — все это призвано создать видимость легитимного уведомления от производителя аппаратного кошелька.
В письмах описывается якобы новая обязательная процедура безопасности — «проверка аутентификации» или «проверка транзакций». Пользователю настойчиво предлагают отсканировать QR-код и пройти верификацию на «специальной странице» до указанной даты, иначе часть функционала кошелька будет недоступна.
Сообщается, что в одном из экземпляров письма, оформленном от имени Trezor, был указан крайний срок прохождения процедуры — 15 февраля 2026 года. В аналогичных письмах «от Ledger» фигурировала дата 15 октября 2025 года. Такие конкретные дедлайны создают искусственное чувство срочности, что является классическим приемом социальной инженерии.
От QR-кода до кражи seed-фразы: техническая цепочка атаки
QR-коды из писем перенаправляют пользователей на мошеннические ресурсы, визуально копирующие официальные сайты Trezor и Ledger. Дизайн, структура страниц и формулировки сообщений тщательно подобраны, чтобы не вызвать подозрений у владельца кошелька, особенно если он не привык внимательно проверять адресную строку браузера.
На поддельных страницах пользователям сообщают о гипотетических рисках: возможных ошибках при подписании транзакций, ограничениях на использование кошелька, проблемах с обновлениями прошивки. В финальной форме якобы «для подтверждения владения устройством» предлагается ввести seed-фразу из 12, 20 или 24 слов.
На одном из фишинговых сайтов приводилось пояснение о том, что завершить «настройку проверки аутентификации» нужно до определенной даты, за исключением устройств, купленных после указанного числа, поскольку они якобы уже преднастроены. Подобные формулировки призваны придать процессу правдоподобие, опираясь на привычную для пользователей логику обновлений и версий устройств.
После ввода seed-фраза немедленно передается атакующим через backend/API-сервисы. Поскольку seed-фраза фактически является мастер-ключом ко всем криптоактивам на кошельке, ее компрометация дает злоумышленникам полный контроль над средствами и возможность мгновенно вывести их на свои адреса без возможности отмены транзакций.
Почему фишинговые атаки уходят в офлайн
Использование бумажных писем в фишинговых кампаниях против владельцев криптокошельков — не единичный случай, а заметный тренд. Ранее уже фиксировались эпизоды, когда под видом поддержки Ledger пользователям отправляли физические устройства, модифицированные для кражи данных на этапе первоначальной настройки. Весной 2025 года владельцы аппаратных кошельков также сообщали о поддельных бумажных уведомлениях якобы от Ledger.
Переход в офлайн позволяет злоумышленникам частично обходить привычные средства защиты: спам-фильтры, антифишинговые механизмы почтовых сервисов и корпоративные системы безопасности. Бумажное письмо, пришедшее по обычной почте и содержащее реальные персональные данные получателя, психологически воспринимается как более «официальное» и надежное.
Утечки данных и таргетинг жертв
Остается открытым вопрос, каким образом атакующие формируют списки получателей таких писем. За последние годы компании, связанные с производством и продажей аппаратных кошельков, действительно сталкивались с утечками клиентской информации. По данным открытых источников, в подобных инцидентах могли оказаться скомпрометированы имена, e-mail и почтовые адреса пользователей, что делает возможной точечную почтовую рассылку.
Для злоумышленников наличие физического адреса — ценное преимущество. Оно позволяет проводить таргетированные офлайн-атаки, маскируя их под официальную корреспонденцию и повышая вероятность того, что жертва отсканирует QR-код или перейдет по указанной ссылке, не перепроверив ее подлинность.
Как защитить аппаратные криптокошельки от офлайн-фишинга
Ключевое правило безопасности для владельцев аппаратных кошельков остается неизменным: производители не запрашивают seed-фразу ни через почту, ни по телефону, ни через веб‑формы. Вводить seed допустимо только непосредственно на самом устройстве или, в отдельных сценариях восстановления, в официальном программном обеспечении, полученном с проверенного источника, и только по собственной инициативе пользователя.
Рекомендуется тщательно проверять все сообщения, связанные с «проверкой безопасности» или «подтверждением транзакций», особенно если они приходят неожиданно. Безопасная практика — самостоятельно набирать адрес официального сайта в браузере и сверять важные объявления с разделами поддержки и новостями производителя, а не переходить по QR-кодам и ссылкам из писем.
Любое бумажное письмо, в котором содержится требование пройти «срочную верификацию», обновить кошелек по ссылке или, тем более, указать seed-фразу, следует рассматривать как потенциально вредоносное. Такие письма целесообразно уничтожать и не сканировать размещенные в них QR-коды.
Для дополнительной защиты эксперты по кибербезопасности рекомендуют использовать функции расширенной безопасности аппаратных кошельков, такие как дополнительная passphrase (BIP39), распределение крупных сумм по нескольким независимым кошелькам и регулярный аудит настроек безопасности учетных записей и устройств.
Рост числа сложных фишинговых атак, в том числе с использованием офлайн‑каналов, показывает, что злоумышленники активно адаптируются к техническим и организационным мерам защиты. Владельцам аппаратных криптокошельков имеет смысл пересмотреть собственные привычки цифровой гигиены, относиться критически к любой «официальной» корреспонденции и регулярно повышать свою осведомленность о современных схемах социальной инженерии — это один из самых эффективных способов сохранить контроль над своими криптоактивами.
