Власники апаратних криптогаманців Trezor і Ledger зіткнулися з нетиповою фішинговою кампанією, у якій зловмисники відмовилися від електронної пошти на користь звичайних паперових листів. Мета атаки залишається класичною — викрасти seed-фрази та повністю перехопити контроль над криптоактивами, однак спосіб доставки та рівень маскування вказують на еволюцію соціальної інженерії.
Як працює фішинг через паперові листи для власників Trezor і Ledger
Користувачі повідомляють про отримання конвертів з акуратно оформленими листами, нібито від служб безпеки Trezor або Ledger. У листах використовуються логотипи брендів, фірмові кольори, офіційно сформульовані звернення — усе це створює враження легітимного повідомлення від виробника апаратного гаманця.
Основний наратив листів — повідомлення про нібито нову обов’язкову процедуру безпеки: «перевірку аутентифікації», «верифікацію транзакцій» або «оновлення політики безпеки». Одержувачу пропонується відсканувати QR-код і пройти «перевірку» на спеціальній сторінці, інакше функціональність гаманця буцімто буде обмежена.
У листах зазначаються конкретні дедлайни, наприклад, 15 лютого 2026 року для «оновлення безпеки Trezor» або 15 жовтня 2025 року для «верифікації Ledger». Такі дати створюють штучне відчуття терміновості — типовий прийом соціальної інженерії, спрямований на те, щоб користувач діяв імпульсивно, без додаткових перевірок.
Ланцюжок атаки: від QR-коду до миттєвої компрометації seed-фрази
QR-коди з паперових листів ведуть на фішингові сайти, які візуально майже повністю копіюють офіційні ресурси Trezor і Ledger. Зовнішній вигляд сторінок, структура меню, тексти попереджень — усе налаштовано так, щоб не викликати підозр, особливо в користувачів, які рідко звертають увагу на повну URL-адресу в браузері.
На підроблених сторінках відвідувача лякають можливими «помилками під час підписання транзакцій», «відмовою в оновленні прошивки» або «ризиком блокування операцій». Для «підтвердження володіння пристроєм» користувача просять ввести seed-фразу з 12, 20 або 24 слів у вебформу.
Деякі фішингові сайти додають псевдотехнічні пояснення: наприклад, що «пристрої, куплені після певної дати, уже попередньо налаштовані», а іншим нібито потрібна додаткова верифікація. Такі деталі експлуатують логіку оновлень прошивок і ревізій пристроїв, підвищуючи правдоподібність шахрайської операції.
Після введення seed-фраза негайно передається на сервери зловмисників через backend/API. Оскільки seed-фраза — це майстер-ключ до всіх приватних ключів і балансів на гаманці, її компрометація дає атакуючим повний і безвідкличний доступ до криптоактивів. Надалі кошти швидко виводяться на контрольовані ними адреси, а повернути їх практично неможливо.
Чому кіберзлочинці переходять до офлайн-фішингу
Використання паперових листів у фішингових кампаніях проти власників апаратних криптогаманців — це вже не поодинокий інцидент, а помітна тенденція. Раніше фіксувалися випадки, коли під виглядом сервісної підтримки Ledger користувачам надсилали фізично модифіковані пристрої, призначені для викрадення seed-фрази під час первинного налаштування. Також у 2025 році повідомлялося про хвилю підроблених паперових сповіщень нібито від Ledger.
Перехід в офлайн дозволяє частково обійти традиційні системи захисту: спам-фільтри, антифішингові механізми поштових сервісів, корпоративні шлюзи безпеки. Паперовий лист, що надходить на реальну поштову адресу, часто сприймається як більш «офіційний» канал комунікації, що підвищує рівень довіри з боку одержувача.
Роль витоків даних і таргетованого підбору жертв
Серйозну загрозу створює наявність у зловмисників баз із клієнтськими даними. За останні роки компанії, пов’язані з апаратними гаманцями, неодноразово стикалися з витоками інформації, у яких могли бути скомпрометовані імена, e‑mail та фізичні адреси користувачів. Така інформація дозволяє формувати високотаргетовані офлайн-розсилки, маскуючи атаки під справжню офіційну кореспонденцію.
Наявність фізичної адреси особливо цінна для кіберзлочинців: користувач, який отримує персоналізований лист поштою, рідше ставить під сумнів його автентичність і частіше сканує QR-код або переходить за вказаною URL без базових перевірок.
Як захистити апаратні криптогаманці від офлайн-фішингу
Базове правило безпеки залишається незмінним: жоден легітимний виробник апаратних криптогаманців ніколи не запитує seed-фразу через листи, телефон, месенджери або вебформи. Введення seed-фрази допустиме лише безпосередньо на самому пристрої або, у крайніх випадках, в офіційному програмному забезпеченні, завантаженому з перевіреного джерела, і тільки з ініціативи користувача.
Усі повідомлення про «термінову перевірку безпеки», «оновлення гаманця» або «верифікацію транзакцій», що надходять несподівано (особливо у вигляді паперових листів), слід вважати підозрілими. Безпечна практика — самостійно вводити адресу офіційного сайту в браузері, звіряти інформацію в розділах підтримки та новин, а не переходити за QR-кодами чи посиланнями з листів.
Будь-який паперовий лист, який містить вимогу пройти «срочну верифікацію» або вказати seed-фразу, доцільно розглядати як потенційно шкідливий. Не скануйте QR-коди з таких листів, не переходьте за надрукованими URL та не надавайте жодних конфіденційних даних.
Для підвищення рівня захисту експерти рекомендують увімкнути додаткову passphrase (BIP39), розподіляти значні обсяги криптоактивів між кількома незалежними гаманцями, регулярно переглядати налаштування безпеки акаунтів бірж і сервісів, а також стежити за попередженнями виробників Trezor і Ledger щодо актуальних шахрайських схем.
Еволюція фішингових атак, зокрема перехід до офлайн-каналів, показує, що зловмисники оперативно адаптуються до технічних і організаційних заходів захисту. Щоб зберегти контроль над криптоактивами, власникам апаратних гаманців варто критично ставитися до будь-якої «офіційної» кореспонденції, системно підвищувати свою обізнаність у сфері кібербезпеки та навчати цих принципів близьких. Кілька хвилин перевірки джерела повідомлення можуть зекономити роки накопичень у криптовалюті.
