Postai úton érkező, hagyományos levelekkel tévesztik meg áldozataikat a csalók egy új, kriptovaluta eltulajdonítására irányuló támadási kampány során. Az elmúlt években több olyan adatvédelmi incidens is érte a Trezor és a Ledger szolgáltatókat, amelyek során nyilvánosságra kerülhettek az ügyfelek elérhetőségei.
A Trezor és Ledger kriptovaluta-tárca szolgáltatókat megszemélyesítő adathalászlevelekben azt állítják, hogy a címzetteknek kötelező hitelesítési- vagy tranzakció ellenőrzést kell végrehajtaniuk, hogy továbbra is hozzáférjenek a szolgáltatás bizonyos funkcióihoz. A hivatalosnak tűnő levélben egy QR kód beolvasására sürgetik az áldozatokat, amely a hivatalos Trezor és/vagy Ledger weboldalak rosszindulatú másolataira irányítják át a felhasználókat.
| A cikk publikálásakor a Trezor ügyfeleket célzó adathalász oldal még elérhető volt, és arra szólította fel áldozatait, hogy 2026. február 15-ig végezzék el az ellenőrzést kivéve, ha 2025. november 30-a után vásároltak Trezor Safe 7, Trezor Safe 5, Trezor Safe 3 vagy Trezor Safe 1 eszközt, ezen eszközök esetén ugyanis nincs szükség további intézkedésre. |
Az adathalászoldal látogatói a „Kezdés” gombra kattintva indíthatják el az állítólagos ellenőrzési folyamatot, ám előtte a weboldal még arról figyelmezteti az áldozatokat, hogy a folyamat megszakítása részlegesen vagy teljesen korlátozott hozzáférést, tranzakció aláírási hibákat, illetve jövőbeli frissítésekkel kapcsolatos zavarokat eredményezhet. Az ellenőrzési folyamat végén egy olyan oldalra kerülnek átirányításra a felhasználók, ahol arra kérik őket, adják meg a pénztárca-helyreállítási kulcsmondatukat. A háttérben az így megadott kódok egy API végponton továbbításra kerülnek az elkövetőknek, akik saját eszközeikre importálhatják a tárcákat, hozzáférve az áldozatok pénzéhez.
A hardveres kripto tárcák helyreállítási kulcsmondatai azok a privát kulcsok, amik biztosítják magához a wallet-hez és az azon tárolt valutákhoz történő hozzáférést. Ezeket a helyreállítási kulcsmondatokat közvetlenül a hardveres eszközön kell megadni, ráadásul a gyártók sem kérik a felhasználókat, hogy adják meg, szkenneljék be, töltsék fel vagy osszák meg őket, ezért soha ne adjuk meg számítógépen, mobileszközön és/vagy különböző weboldalakon kulcsmondatainkat!