Snail Mail Scam richtet sich gegen Trezor- und Ledger-Nutzer

• Physische Briefe und QR-Codes erhöhen die Glaubwürdigkeit von Betrug und umgehen E-Mail-Filter mühelos.
• Gefälschte Sicherheitschecks mit Trezor- und Ledger-Branding locken Nutzer dazu, Wiederherstellungsphrasen zu teilen.
• Angreifer erhalten die vollständige Kontrolle über die Wallet, sobald Wiederherstellungsphrasen auf geklonten Setup-Seiten eingegeben werden.

Kriminelle Gruppen haben eine neue Welle von Kryptowährungsbetrügereien gestartet, indem sie physische Briefe an Hardware-Wallet-Besitzer verschicken. Die Briefe geben sich als vertrauenswürdige Marken aus und setzen die Empfänger unter Druck, schnell zu handeln. Anstelle von E-Mail-Phishing verlassen sich Angreifer nun auf gedruckte Post und QR-Codes.

Daher können Opfer der Nachricht vertrauen, weil sie in einem formellen Umschlag ankommt. Sicherheitsforscher warnen, dass diese Taktik die Glaubwürdigkeit erhöht und den Verdacht senkt. Die Kampagne richtet sich hauptsächlich an Nutzer von Trezor- und Ledger-Geräten.

Betrügerische „Authentifizierungs“- und „Transaktions“-Prüfungen

In den Briefen wird behauptet, dass die Nutzer verpflichtende Sicherheitskontrollen durchführen müssen, um den Zugang zur Geldbörse nicht zu verlieren. Einige Hinweise beziehen sich auf eine „Authentifizierungsprüfung“, während andere eine „Transaktionsprüfung“ bewerben.

Neben dringenden Fristen warnen die Briefe vor Gerätestörungen und eingeschränkter Funktionalität. Die QR-Codes leiten die Opfer zu Websites, die offiziellen Wallet-Setup-Seiten stark nachahmen.

Ermittler identifizierten Domains wie trezor.authentication-check[.]io und ledger.setuptransactioncheck[.]com. Obwohl eine Phishing-Domain offline ging, bleiben andere aktiv oder werden kürzlich betrieben. Die gefälschten Seiten fordern Wiederherstellungsphrasen unter dem Vorwand der Überprüfung des Eigentums an. Außerdem zeigen die Seiten Countdown-Fristen an, um die Opfer zu schnellem Handeln zu drängen.

Sicherheitsexperten vermuten, dass frühere Datenpannen möglicherweise die Versanddaten der Kunden offengelegt haben. Sowohl Trezor als auch Ledger hatten frühere Leaks im Zusammenhang mit Nutzerkontaktdaten. Daher können Angreifer auf diese Aufzeichnungen zurückgreifen, um Briefe zu personalisieren und gezielt bestimmte Haushalte anzusprechen. Die Verantwortlichen haben jedoch die genaue Herkunft der Mailinglisten nicht bestätigt.

Wie der Betrug Krypto-Gelder stiehlt

Sobald die Opfer auf der Phishing-Seite landen, fragt die Seite nach einer 12-, 20- oder 24-Wörter-Wiederherstellungsphrase. Die Seite behauptet, die Phrase ermögliche die Synchronisation des Geräts und die Aktivierung von Funktionen. In Wirklichkeit erfassen die Angreifer die Phrase über eine Backend-API. Folglich gewinnen sie die volle Kontrolle über die Geldbörse und deren Gelder.

Wiederherstellungsphrasen stellen die Hauptschlüssel zu Kryptowährungs-Wallets dar. Jeder, der sie bekommt, kann die Wallet auf ein anderes Gerät importieren. Bemerkenswert ist, dass kein Hardware-Wallet-Unternehmen jemals Wiederherstellungsphrasen über Websites oder per Post anfordert. Nutzer sollten Wiederherstellungsphrasen nur direkt auf dem physischen Gerät während der Wiederherstellung eingeben.

Schutz vor Post-Phishing

Cybersicherheitsspezialisten fordern Wallet-Besitzer auf, unerwünschte Briefe, die dringend handeln fordern, zu ignorieren. Zusätzlich sollten Nutzer Sicherheitshinweise über offizielle Firmenwebsites überprüfen.

Experten empfehlen, legitime Domains als Lesezeichen zu speichern, anstatt QR-Codes zu scannen. Darüber hinaus sollten Personen Ankündigungen von Wallet-Herstellern bezüglich Updates oder Sicherheitsfunktionen überwachen.

Verwandt: Wallet-Vergiftung und Phishing-Betrügereien entziehen Millionen in Krypto