Listy z „działu bezpieczeństwa” w skrzynce? Nowa fala phishingu pocztą tradycyjną uderza w użytkowników Trezor i Ledger - Security Bez Tabu

Listy z „działu bezpieczeństwa” w skrzynce? Nowa fala phishingu pocztą tradycyjną uderza w użytkowników Trezor i Ledger

Wprowadzenie do problemu / definicja luki

To nie jest „luka” w sprzętowych portfelach, tylko klasyczna kradzież poprzez socjotechnikę – w tym przypadku w nietypowym kanale: pocztą tradycyjną (snail mail). Atakujący wysyłają fizyczne listy podszywające się pod komunikaty działów „security/compliance” Trezor i Ledger. W liście znajduje się QR kod prowadzący do strony phishingowej, która finalnie prosi o seed phrase / recovery phrase (12/24 słowa). Kto ją pozna – przejmuje środki.

W skrócie

  • List sugeruje pilne działanie (np. „Authentication Check” lub „Transaction Check”), grożąc ograniczeniem działania aplikacji/urządzenia, jeśli użytkownik nie wykona kroku do wskazanego terminu.
  • QR prowadzi na domeny podszywające się pod konfigurator Trezor/Ledger; przynajmniej jedna kampania zbierała frazy odzyskiwania i wysyłała je do backendowego endpointu API.
  • Trezor i Ledger wprost podkreślają, że nie proszą o seed phrase, nie „dezaktywują” urządzeń, a kontakt inicjowany przez „list/telefon/komunikator” należy traktować jako phishing.

Kontekst / historia / powiązania

Ten typ ataku żeruje na dwóch zjawiskach:

  1. Dane adresowe w obiegu – branża krypto ma historię incydentów, po których dane kontaktowe klientów krążyły w sieci. BleepingComputer zwraca uwagę, że zarówno Trezor, jak i Ledger w przeszłości doświadczyły naruszeń, które mogły ujawnić informacje kontaktowe.
  2. Ewolucja phishingu „na seed phrase” – nie chodzi już tylko o link w mailu. Kampanie potrafią:
  • wykorzystywać masową dystrybucję przez przejęte konta w narzędziach marketingowych/CRM,
  • podsuwać ofierze „gotową” frazę (tzw. PoisonSeed), aby przejąć środki po utworzeniu portfela z użyciem tej frazy.

Snail mail to kolejny krok: mniej filtrów antyspamowych, większe „wrażenie oficjalności” i element zaskoczenia.

Analiza techniczna / szczegóły luki

1) Łańcuch ataku (kill chain)

  1. Dostarczenie: fizyczny list na papierze firmowym udającym Trezor/Ledger.
  2. Uwiarygodnienie i presja czasu: komunikat o obowiązkowym mechanizmie („Authentication Check”, „Transaction Check”) i terminie granicznym (np. Trezor: 15 lutego 2026).
  3. Przekierowanie kanału: QR kod → strona podszywająca się pod proces konfiguracji.
  4. Eksfiltracja sekretu: formularz do wpisania 12/20/24 słów; w opisywanym przypadku fraza była wysyłana do endpointu API na serwerze atakującego.
  5. Monetyzacja: import portfela przez atakującego i transfer środków (sam seed phrase jest „kluczem głównym”).

2) Dlaczego to działa (nawet na bardziej świadomych użytkowników)

  • Kanał „offline” obniża czujność: użytkownicy kojarzą phishing głównie z e-mailem/SMS.
  • Narracja o „weryfikacji” pasuje do trendu KYC/AML i compliance – brzmi wiarygodnie.
  • Wymuszenie terminu redukuje czas na weryfikację domeny i źródła.

3) Najważniejsza obserwacja operacyjna

To nie jest „update firmware” ani „synchronizacja urządzenia” – żadna legalna procedura nie wymaga podania seed phrase na stronie. Ledger wręcz opisuje scenariusze, w których oszuści proszą o wpisanie 24 słów (także w kontekście fizycznych listów).

Praktyczne konsekwencje / ryzyko

  • Ryzyko krytyczne (C): ujawnienie seed phrase = natychmiastowa utrata kontroli nad środkami; w praktyce często nieodwracalna (transakcje w blockchainie są finalne).
  • Ryzyko dla firm: pracownicy z ekspozycją na krypto (inwestycje, treasury, eksperymenty Web3) mogą wprowadzić frazę na służbowym urządzeniu → kompromitacja środowiska (dodatkowe malware/infostealer w innych kampaniach). Jako kontekst: opisywano także fałszywe aplikacje podszywające się pod Ledger Live, które wymuszają wpisanie seed phrase.
  • Ryzyko wtórne: jeśli atakujący ma adres domowy i wie, że ofiara korzysta z hardware walleta, rośnie ryzyko dalszego ukierunkowania (kolejne listy, telefony, „support”).

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników (checklista)

  1. Nigdy nie podawaj seed phrase: nie wpisuj jej na stronie, nie wysyłaj, nie skanuj, nie fotografuj. Trezor i Ledger mówią wprost: firma nie będzie o to prosić.
  2. Traktuj list jako phishing (nawet jeśli wygląda „idealnie”): Trezor zaleca uznawać kontakt z „poczty tradycyjnej” jako podejrzany, jeśli jest inicjowany do Ciebie.
  3. Nie skanuj QR kodu z listu. Jeśli chcesz coś sprawdzić – wpisz ręcznie znany, zapisany (bookmark) adres (np. oficjalne strony producenta) lub użyj aplikacji, której źródło instalacji jest pewne.
  4. Jeśli już wpisałeś seed phrase: traktuj portfel jako przechwycony – przenieś środki na nowy portfel z nową frazą (generowaną na urządzeniu), a stary uznaj za spalony. (Czas ma znaczenie).

Dla zespołów bezpieczeństwa (SOC / SecOps)

  • Dodaj playbook „crypto-seed-phishing” do obsługi zgłoszeń użytkowników (także w kanale fizycznym).
  • Edukuj: „Ledger/Trezor nie dezaktywuje urządzeń”, „seed phrase tylko w urządzeniu”, „QR z listu = wysokie ryzyko”.
  • Monitoruj domeny podobne (typosquatting) i zgłoszenia brand abuse; Ledger podaje przykłady „podobnych domen” i zasad weryfikacji kanałów.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • Snail mail vs e-mail: e-mail częściej wpada w filtry i jest łatwiejszy do zablokowania na bramie; list fizyczny omija zabezpieczenia techniczne i uderza w procesy/świadomość użytkownika.
  • Phishing „podaj swoją frazę” vs PoisonSeed: w klasycznym scenariuszu ofiara wpisuje własną frazę na fałszywej stronie (przejęcie natychmiast). W PoisonSeed ofiara dostaje frazę od atakującego i używa jej do utworzenia portfela – efekt końcowy podobny: atakujący zna klucz.
  • Fałszywe strony vs fałszywe aplikacje: część kampanii idzie w malware i podstawianie aplikacji (np. fałszywy Ledger Live), ale mechanika końcowa nadal kręci się wokół wymuszenia seed phrase.

Podsumowanie / kluczowe wnioski

  • To nie awaria Trezor/Ledger, tylko atak na użytkownika, który ma doprowadzić do ujawnienia recovery phrase.
  • „Papierowy list” staje się kolejnym kanałem phishingu – mniej spodziewanym, przez co skuteczniejszym.
  • Jedna zasada chroni przed większością tych scenariuszy: seed phrase nigdy nie opuszcza Twojej kontroli i nigdy nie trafia na stronę/aplikację „na żądanie” – niezależnie od tego, jak pilnie brzmi komunikat.

Źródła / bibliografia

  1. BleepingComputer – „Snail mail letters target Trezor and Ledger users in crypto-theft attacks” (BleepingComputer)
  2. Trezor – „Common scams and phishing affecting Trezor users” (trezor.io)
  3. Ledger – „Ongoing phishing campaigns” (w tym sekcja o listach fizycznych i zasadach weryfikacji) (Ledger)
  4. SecurityWeek – „CRM, Bulk Email Providers Targeted in Crypto Phishing Campaign” (PoisonSeed) (SecurityWeek)
  5. TechRadar – „Mac users beware – fake Ledger apps…” (fałszywe aplikacje wymuszające seed phrase) (TechRadar)