Listy z „działu bezpieczeństwa” w skrzynce? Nowa fala phishingu pocztą tradycyjną uderza w użytkowników Trezor i Ledger

Wprowadzenie do problemu / definicja luki

To nie jest „luka” w sprzętowych portfelach, tylko klasyczna kradzież poprzez socjotechnikę – w tym przypadku w nietypowym kanale: pocztą tradycyjną (snail mail). Atakujący wysyłają fizyczne listy podszywające się pod komunikaty działów „security/compliance” Trezor i Ledger. W liście znajduje się QR kod prowadzący do strony phishingowej, która finalnie prosi o seed phrase / recovery phrase (12/24 słowa). Kto ją pozna – przejmuje środki.

W skrócie

• List sugeruje pilne działanie (np. „Authentication Check” lub „Transaction Check”), grożąc ograniczeniem działania aplikacji/urządzenia, jeżeli użytkownik nie wykona kroku do wskazanego terminu.
• QR prowadzi na domeny podszywające się pod konfigurator Trezor/Ledger; przynajmniej jedna kampania zbierała frazy odzyskiwania i wysyłała je do backendowego endpointu API.
• Trezor i Ledger wprost podkreślają, iż nie proszą o seed phrase, nie „dezaktywują” urządzeń, a kontakt inicjowany przez „list/telefon/komunikator” należy traktować jako phishing.

Kontekst / historia / powiązania

Ten typ ataku żeruje na dwóch zjawiskach:

1. Dane adresowe w obiegu – branża krypto ma historię incydentów, po których dane kontaktowe klientów krążyły w sieci. BleepingComputer zwraca uwagę, iż zarówno Trezor, jak i Ledger w przeszłości doświadczyły naruszeń, które mogły ujawnić informacje kontaktowe.
2. Ewolucja phishingu „na seed phrase” – nie chodzi już tylko o link w mailu. Kampanie potrafią:

• wykorzystywać masową dystrybucję przez przejęte konta w narzędziach marketingowych/CRM,
• podsuwać ofierze „gotową” frazę (tzw. PoisonSeed), aby przejąć środki po utworzeniu portfela z użyciem tej frazy.

Snail mail to kolejny krok: mniej filtrów antyspamowych, większe „wrażenie oficjalności” i element zaskoczenia.

Analiza techniczna / szczegóły luki

1) Łańcuch ataku (kill chain)

1. Dostarczenie: fizyczny list na papierze firmowym udającym Trezor/Ledger.
2. Uwiarygodnienie i presja czasu: komunikat o obowiązkowym mechanizmie („Authentication Check”, „Transaction Check”) i terminie granicznym (np. Trezor: 15 lutego 2026).
3. Przekierowanie kanału: QR kod → strona podszywająca się pod proces konfiguracji.
4. Eksfiltracja sekretu: formularz do wpisania 12/20/24 słów; w opisywanym przypadku fraza była wysyłana do endpointu API na serwerze atakującego.
5. Monetyzacja: import portfela przez atakującego i transfer środków (sam seed phrase jest „kluczem głównym”).

2) Dlaczego to działa (nawet na bardziej świadomych użytkowników)

• Kanał „offline” obniża czujność: użytkownicy kojarzą phishing głównie z e-mailem/SMS.
• Narracja o „weryfikacji” pasuje do trendu KYC/AML i compliance – brzmi wiarygodnie.
• Wymuszenie terminu redukuje czas na weryfikację domeny i źródła.

3) Najważniejsza obserwacja operacyjna

To nie jest „update firmware” ani „synchronizacja urządzenia” – żadna legalna procedura nie wymaga podania seed phrase na stronie. Ledger wręcz opisuje scenariusze, w których oszuści proszą o wpisanie 24 słów (także w kontekście fizycznych listów).

Praktyczne konsekwencje / ryzyko

• Ryzyko krytyczne (C): ujawnienie seed phrase = natychmiastowa utrata kontroli nad środkami; w praktyce często nieodwracalna (transakcje w blockchainie są finalne).
• Ryzyko dla firm: pracownicy z ekspozycją na krypto (inwestycje, treasury, eksperymenty Web3) mogą wprowadzić frazę na służbowym urządzeniu → kompromitacja środowiska (dodatkowe malware/infostealer w innych kampaniach). Jako kontekst: opisywano także fałszywe aplikacje podszywające się pod Ledger Live, które wymuszają wpisanie seed phrase.
• Ryzyko wtórne: jeżeli atakujący ma adres domowy i wie, iż ofiara korzysta z hardware walleta, rośnie ryzyko dalszego ukierunkowania (kolejne listy, telefony, „support”).

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników (checklista)

1. Nigdy nie podawaj seed phrase: nie wpisuj jej na stronie, nie wysyłaj, nie skanuj, nie fotografuj. Trezor i Ledger mówią wprost: firma nie będzie o to prosić.
2. Traktuj list jako phishing (nawet jeżeli wygląda „idealnie”): Trezor zaleca uznawać kontakt z „poczty tradycyjnej” jako podejrzany, jeżeli jest inicjowany do Ciebie.
3. Nie skanuj QR kodu z listu. jeżeli chcesz coś sprawdzić – wpisz manualnie znany, zapisany (bookmark) adres (np. oficjalne strony producenta) lub użyj aplikacji, której źródło instalacji jest pewne.
4. Jeśli już wpisałeś seed phrase: traktuj portfel jako przechwycony – przenieś środki na nowy portfel z nową frazą (generowaną na urządzeniu), a stary uznaj za spalony. (Czas ma znaczenie).

Dla zespołów bezpieczeństwa (SOC / SecOps)

• Dodaj playbook „crypto-seed-phishing” do obsługi zgłoszeń użytkowników (także w kanale fizycznym).
• Edukuj: „Ledger/Trezor nie dezaktywuje urządzeń”, „seed phrase tylko w urządzeniu”, „QR z listu = wysokie ryzyko”.
• Monitoruj domeny podobne (typosquatting) i zgłoszenia brand abuse; Ledger podaje przykłady „podobnych domen” i zasad weryfikacji kanałów.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• Snail mail vs e-mail: e-mail częściej wpada w filtry i jest łatwiejszy do zablokowania na bramie; list fizyczny omija zabezpieczenia techniczne i uderza w procesy/świadomość użytkownika.
• Phishing „podaj swoją frazę” vs PoisonSeed: w klasycznym scenariuszu ofiara wpisuje własną frazę na fałszywej stronie (przejęcie natychmiast). W PoisonSeed ofiara dostaje frazę od atakującego i używa jej do utworzenia portfela – efekt końcowy podobny: atakujący zna klucz.
• Fałszywe strony vs fałszywe aplikacje: część kampanii idzie w malware i podstawianie aplikacji (np. fałszywy Ledger Live), ale mechanika końcowa przez cały czas kręci się wokół wymuszenia seed phrase.

Podsumowanie / najważniejsze wnioski

• To nie awaria Trezor/Ledger, tylko atak na użytkownika, który ma doprowadzić do ujawnienia recovery phrase.
• „Papierowy list” staje się kolejnym kanałem phishingu – mniej spodziewanym, przez co skuteczniejszym.
• Jedna zasada chroni przed większością tych scenariuszy: seed phrase nigdy nie opuszcza Twojej kontroli i nigdy nie trafia na stronę/aplikację „na żądanie” – niezależnie od tego, jak pilnie brzmi komunikat.

Źródła / bibliografia

1. BleepingComputer – „Snail mail letters target Trezor and Ledger users in crypto-theft attacks” (BleepingComputer)
2. Trezor – „Common scams and phishing affecting Trezor users” (trezor.io)
3. Ledger – „Ongoing phishing campaigns” (w tym sekcja o listach fizycznych i zasadach weryfikacji) (Ledger)
4. SecurityWeek – „CRM, Bulk Email Providers Targeted in Crypto Phishing Campaign” (PoisonSeed) (SecurityWeek)
5. TechRadar – „Mac users beware – fake Ledger apps…” (fałszywe aplikacje wymuszające seed phrase) (TechRadar)