Estafa por correo tradicional apunta a usuarios de Trezor y Ledger

• Las cartas físicas y los códigos QR aumentan la credibilidad de las estafas, saltándose fácilmente los filtros de correo electrónico.
• Las comprobaciones de seguridad falsas usando la marca Trezor y Ledger atraen a los usuarios a compartir frases de recuperación.
• Los atacantes obtienen control total de la cartera una vez que se introducen las frases de recuperación en sitios de configuración clonados.

Grupos criminales han lanzado una nueva oleada de estafas con criptomonedas enviando cartas físicas a los propietarios de carteras de hardware. Las cartas se hacen pasar por marcas de confianza y presionan a los destinatarios para que actúen con rapidez. En lugar de phishing por correo electrónico, los atacantes ahora dependen del correo impreso y códigos QR.

En consecuencia, las víctimas pueden confiar en el mensaje porque llega en un sobre formal. Los investigadores de seguridad advierten que esta táctica aumenta la credibilidad y reduce la sospecha. La campaña se dirige principalmente a los usuarios de dispositivos Trezor y Ledger.

Cheques fraudulentos de «autenticación» y «transacción»

Las cartas afirman que los usuarios deben completar controles de seguridad obligatorios para evitar perder el acceso a la cartera. Algunos avisos hacen referencia a una «Comprobación de Autenticación», mientras que otros promueven una «Comprobación de Transacción».

Además de los plazos urgentes, las cartas advierten sobre interrupciones en dispositivos y funcionalidades restringidas. Los códigos QR dirigen a las víctimas a sitios web que imitan de cerca las páginas oficiales de configuración de carteras.

Los investigadores identificaron dominios como trezor.authentication-check[.]Io y ledger.setuptransactioncheck[.]com. Aunque un dominio de phishing quedó offline, otros siguen activos o han sido operados recientemente. Las páginas falsas solicitan cláusulas de recuperación bajo el pretexto de verificar la propiedad. Además, los sitios muestran plazos de cuenta atrás para presionar a las víctimas a actuar rápidamente.

Los expertos en seguridad sospechan que las brechas de datos anteriores podrían haber expuesto los datos de envío de los clientes. Tanto Trezor como Ledger sufrieron filtraciones anteriores relacionadas con información de contacto de usuarios. Por lo tanto, los atacantes pueden confiar en esos registros para personalizar cartas y dirigirse a hogares específicos. Sin embargo, las autoridades no han confirmado la fuente exacta de las listas de correo.

Cómo la estafa roba fondos cripto

Una vez que las víctimas llegan a la página de phishing, el sitio solicita una frase de recuperación de 12, 20 o 24 palabras. La página afirma que la frase permite la sincronización del dispositivo y la activación de funciones. En realidad, los atacantes capturan la frase a través de una API de backend. En consecuencia, obtienen el control total sobre la cartera y sus fondos.

Las frases de recuperación representan las claves maestras de las carteras de criptomonedas. Cualquiera que los obtenga puede importar la cartera a otro dispositivo. Es importante destacar que ninguna empresa de monederos hardware solicita jamás términos de recuperación a través de sitios web o correo postal. Los usuarios solo deben introducir frases de recuperación directamente en el dispositivo físico durante la restauración.

Mantenerse a salvo del phishing postal

Los especialistas en ciberseguridad instan a los propietarios de carteras a ignorar las cartas no solicitadas que exigen acciones urgentes. Además, los usuarios deben verificar cualquier aviso de seguridad a través de las páginas web oficiales de la empresa.

Los expertos recomiendan marcar los dominios legítimos en lugar de escanear códigos QR. Además, las personas deben seguir los anuncios de los fabricantes de carteras sobre actualizaciones o características de seguridad.

Relacionado: Envenenamiento de carteras y estafas de phishing que drenan millones en criptomonedas