I gruppi criminali hanno lanciato una nuova ondata di truffe in criptovalute inviando lettere fisiche ai proprietari di hardware wallet. Le lettere si spacciano per marchi affidabili e fanno pressione sui destinatari affinché agiscano rapidamente. Invece del phishing via email, ora gli aggressori si affidano a posta stampata e codici QR.
Di conseguenza, le vittime potrebbero fidarsi del messaggio perché arriva in una busta formale. I ricercatori di sicurezza avvertono che questa tattica aumenta la credibilità e riduce i sospetti. La campagna prende di mira principalmente gli utenti di dispositivi Trezor e Ledger.
Le lettere affermano che gli utenti devono completare controlli di sicurezza obbligatori per evitare di perdere l’accesso al wallet. Alcuni avvisi fanno riferimento a un “Authentication Check”, mentre altri promuovono un “Transaction Check”.
Oltre a scadenze urgenti, le lettere avvertono di possibili interruzioni del dispositivo e funzionalità limitate. I codici QR indirizzano le vittime verso siti web che imitano da vicino le pagine ufficiali di configurazione del wallet.
Gli investigatori hanno identificato domini come trezor.authentication-check[.]io e ledger.setuptransactioncheck[.]com. Sebbene un dominio di phishing sia andato offline, altri rimangono attivi o lo sono stati di recente. Le pagine false richiedono le recovery phrase con il pretesto di verificare la proprietà. Inoltre, i siti mostrano countdown di scadenza per mettere pressione sulle vittime affinché agiscano rapidamente.
Gli esperti di sicurezza sospettano che precedenti violazioni dei dati possano aver esposto i dettagli di spedizione dei clienti. Sia Trezor che Ledger hanno subito in passato fughe di dati che coinvolgevano le informazioni di contatto degli utenti. Pertanto, gli aggressori potrebbero fare affidamento su tali registri per personalizzare le lettere e colpire nuclei familiari specifici. Tuttavia, le autorità non hanno confermato la fonte esatta delle mailing list.
Una volta che le vittime arrivano sulla pagina di phishing, il sito richiede una recovery phrase di 12, 20 o 24 parole. La pagina sostiene che la frase consenta la sincronizzazione del dispositivo e l’attivazione delle funzioni. In realtà, gli aggressori catturano la frase tramite una API backend. Di conseguenza, ottengono il pieno controllo sul wallet e sui suoi fondi.
Le recovery phrase rappresentano le chiavi master dei wallet di criptovalute. Chiunque le ottenga può importare il wallet su un altro dispositivo. È importante sottolineare che nessuna azienda produttrice di hardware wallet richiede mai le recovery phrase tramite siti web o posta. Gli utenti devono inserire le recovery phrase solo direttamente sul dispositivo fisico durante il ripristino.
(adsbygoogle = window.adsbygoogle || []).push({});Gli specialisti di cybersicurezza invitano i proprietari di wallet a ignorare lettere non richieste che richiedono azioni urgenti. Inoltre, gli utenti dovrebbero verificare qualsiasi avviso di sicurezza tramite i siti ufficiali delle aziende.
Gli esperti raccomandano di aggiungere ai preferiti i domini legittimi invece di scansionare i codici QR. Inoltre, è consigliato monitorare gli annunci dei produttori di wallet riguardo aggiornamenti o funzionalità di sicurezza.
