Os golpistas usam cartas postais falsas e códigos QR para enganar utilizadores de Trezor e Ledger, levando-os a revelar frases-semente de carteiras.
Os ataques de phishing em criptomoedas já não se limitam a emails e anúncios falsos. Os criminosos estão agora a enviar cartas físicas aos utilizadores de carteiras de hardware. As cartas parecem oficiais e incentivam uma ação rápida, com o objetivo de enganar as pessoas para que revelem as suas frases de recuperação e roubem os seus fundos.
Utilizadores de Trezor e Ledger alertados sobre cartas de phishing com QR code
Os agentes maliciosos estão a enviar cartas aos utilizadores, fingindo ser a Trezor e a Ledger, dois dos principais fabricantes de carteiras de hardware. As cartas afirmam que os utilizadores devem completar uma “Verificação de Autenticação” ou “Verificação de Transação” obrigatória. A advertência é de que a não realização pode causar problemas de acesso à carteira. Cada carta inclui um código QR que leva os destinatários a sites de phishing.
Relatórios mostram que as cartas parecem oficiais e usam os logótipos e a marca da empresa. Entretanto, ambas as empresas sofreram brechas de dados no passado que expuseram detalhes de contacto dos clientes. As informações de envio roubadas podem ter permitido alcançar campanhas maliciosas.
O especialista em cibersegurança Dmitry Smilyanets partilhou uma dessas cartas falsas numa publicação no X. Nesse caso, os golpistas fingiram ser a Trezor e disseram aos utilizadores para completar uma verificação de autenticação até 15 de fevereiro de 2026. A não conformidade supostamente significava problemas de acesso ao Trezor Suite.
Além disso, a carta dizia aos utilizadores para escanear um código QR com o telemóvel e seguir as instruções num site. Aumentava a pressão ao afirmar que era necessária uma ação, mesmo que a funcionalidade já estivesse ativada. O objetivo dos golpistas era fazer com que as pessoas agissem rapidamente, sem pensar.
Uma carta semelhante foi direcionada aos utilizadores da Ledger. A mensagem afirmava que uma “Verificação de Transação” obrigatória estaria a chegar em breve. Com o prazo definido para 15 de outubro de 2025, o aviso alertava que ignorar a mensagem poderia causar problemas nas transações.
Ao escanear os códigos QR, os utilizadores eram levados a sites falsos que pareciam páginas oficiais da Trezor ou Ledger. O site relacionado com a Ledger posteriormente ficou offline, enquanto o site falso da Trezor permaneceu online, mas foi identificado como phishing pela Cloudflare.
A página falsa da Trezor exibia um banner de aviso, solicitando aos utilizadores que completassem a autenticação até 15 de fevereiro de 2026. Foi adicionada uma exceção para certos modelos mais recentes do Trezor Safe adquiridos após 30 de novembro de 2025, sugerindo que esses dispositivos estavam pré-configurados.
Além disso, a página final pedia aos utilizadores que inserissem a frase-semente de recuperação da carteira. O formulário permitia 12, 20 ou 24 palavras. Para confirmar a propriedade, o site exigia uma frase para ativar a autenticação. Na realidade, ao inseri-la, os golpistas teriam acesso total à carteira.
Segurança da Frase-semente em Foco com o Crescente Aumento de Golpes Offline
O phishing físico continua a ser menos comum do que os golpes por email. No entanto, campanhas postais já ocorreram anteriormente. Em 2021, criminosos enviaram dispositivos Ledger modificados, projetados para capturar frases de recuperação durante a configuração. Outra vaga de phishing postal direcionada aos utilizadores de Ledger surgiu em abril.
Os fornecedores de carteiras de hardware alertam repetidamente os clientes para nunca partilharem as frases de recuperação. Nenhuma atualização legítima ou verificação de segurança exige a inserção de uma frase-semente online. As empresas não solicitam esses dados por correio, email ou telefone.
Entretanto, a crescente sofisticação dos golpes indica que o risco para os detentores de criptomoedas persiste. Táticas offline podem parecer mais credíveis para alguns utilizadores, pois as cartas impressas podem parecer oficiais e urgentes.
Por isso, os utilizadores devem verificar quaisquer avisos de segurança diretamente nos sites oficiais. Digitar manualmente endereços web conhecidos é mais seguro do que escanear QR codes desconhecidos. Cartas suspeitas devem ser imediatamente reportadas aos fornecedores de carteiras e às autoridades de cibersegurança.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
