Lettere truffa di Trezor e Ledger prendono di mira gli utenti di portafogli crypto

L’ennesima ondata di truffe via posta prende di mira gli utenti di portafogli hardware per criptovalute: proprietari di Ledger e Trezor segnalano di aver ricevuto lettere cartacee progettate per estorcere le loro frasi di recupero, sfruttando dati personali emersi in numerose violazioni negli ultimi anni.

Dmitry Smilyanets è stato tra i primi a notificare una lettera fasulla inviata apparentemente da Trezor, che richiedeva agli utenti un presunto “Authentication Check” entro una data limite, minacciando altrimenti limitazioni sul dispositivo. La comunicazione includeva un ologramma e un codice QR che rimandava a un sito di phishing, e risultava firmata con il nome di Matěj Žák, indicato erroneamente come amministratore delegato di Ledger mentre è il CEO di Trezor.

Segnalazioni analoghe erano già emerse in precedenza: lo scorso anno alcuni utenti di Ledger ricevettero lettere che indicavano la necessità di completare una presunta “Transaction Check”, sempre con il fine di indurre al rilascio di informazioni sensibili tramite siti fraudolenti.

Come funziona la truffa

I messaggi cartacei contengono tipicamente un codice QR o un indirizzo web che rimanda a pagine costruite per imitare i processi di configurazione o verifica dei dispositivi Ledger e Trezor. Gli utenti vengono convinti a inserire la propria recovery phrase o la seed phrase, che viene poi trasmessa all’attaccante tramite un’API back-end. Con quella sequenza di parole l’aggressore può importare il portafoglio su un dispositivo controllato e trasferire fondi.

È importante ribadire che le aziende produttrici di portafogli hardware non richiedono mai la comunicazione della recovery phrase attraverso siti web, e‑mail o posta. Qualsiasi richiesta in tal senso è da considerarsi fraudolenta.

Precedenti e vulnerabilità esposte

Negli ultimi anni diverse violazioni hanno interessato Ledger e partner terzi, causando la diffusione di dati dei clienti, tra cui indirizzi fisici impiegati per la corrispondenza. Questi dati sono stati sfruttati per campagne di phishing mirato e per inviare corrispondenza fraudolenta che aumenta la credibilità dell’attacco.

Trezor aveva inoltre segnalato una violazione che ha esposto i contatti di decine di migliaia di clienti all’inizio del 2024. In passato sono stati segnalati anche casi in cui strumenti contraffatti o app false, costruite per somigliare a Ledger Live, sono stati usati per sottrarre le frasi di recupero e svuotare i portafogli.

Consigli pratici per gli utenti

Per limitare i rischi è fondamentale seguire alcune buone pratiche: non condividere mai la recovery phrase, verificare sempre le fonti ufficiali dei produttori, aggiornare il firmware del dispositivo solo tramite i tool ufficiali e diffidare di comunicazioni che sollecitano azioni urgenti tramite link esterni o QR code.

In caso di ricezione di una lettera sospetta, è consigliabile contattare il supporto ufficiale del produttore direttamente attraverso i canali indicati sul sito ufficiale e segnalare l’evento alle autorità competenti. Gli utenti più esposti dovrebbero valutare misure aggiuntive, come l’attivazione di una passphrase aggiuntiva o il trasferimento dei fondi su un dispositivo nuovo, dopo aver verificato accuratamente la sicurezza delle chiavi.

Implicazioni per la sicurezza e per le istituzioni

Queste campagne evidenziano il legame tra violazioni dei dati, uso di informazioni personali e rischi fisici per gli utenti. Le aziende coinvolte devono rafforzare le misure di protezione dei dati personali e migliorare la comunicazione con i clienti per prevenire abusi; i regolatori e gli operatori del settore finanziario dovrebbero inoltre promuovere standard più rigorosi sulla gestione delle informazioni sensibili.

Per la comunità degli utenti e per gli operatori del settore resta cruciale mantenere alta la vigilanza e sviluppare procedure di risposta condivise per mitigare l’impatto di campagne di phishing sempre più sofisticate, che sfruttano vettori sia digitali sia fisici.

In sintesi, la combinazione di dati personali trapelati e tecniche di ingegneria sociale rende necessari comportamenti prudenziali e interventi sistemici per tutelare i detentori di asset digitali.