As técnicas de fraude em criptomoedas voltaram a evoluir, com vários utilizadores de carteiras físicas, incluindo Trezor, Ledger e outros, a reportar recentemente o recebimento de cartas físicas disfarçadas de notificações oficiais. Essas cartas solicitam a digitalização de um código QR para uma verificação forçada, na verdade, enganando os utilizadores para inserirem a frase-semente, permitindo assim o roubo de ativos. Este tipo de ataque não é novo e reforça os riscos de vazamento de dados pessoais e de engenharia social a longo prazo.
Cartas físicas disfarçadas de notificações oficiais exigem “verificação de identidade” dentro de um prazo
A equipa de cibersegurança Dmitry Smilyanets destacou que vários utilizadores receberam cartas impressas assinadas por Trezor ou Ledger, contendo afirmações de que é necessário completar uma “verificação de identidade (Authentication Check)” ou uma “verificação de transação (Transaction Check)” dentro de um prazo específico, sob pena de limitação do dispositivo.
Segundo relatos, as cartas apresentam um acabamento detalhado, incluindo assinaturas falsificadas, logótipos de marcas e etiquetas anti-falsificação, além de um código QR de verificação. Em alguns casos, as cartas até usaram a assinatura do CEO da Trezor, Matěj Žák.
Digitalizar o QR Code leva a um site falso, induzindo a inserir a frase-semente
Dmitry Smilyanets relatou que o QR Code nas cartas direciona o destinatário para um site malicioso que imita a página oficial, solicitando a inserção da frase-semente da carteira para completar uma suposta “verificação de segurança”. Uma vez inserida, a informação é enviada através de uma API de backend para os atacantes, permitindo que eles importem a carteira em outros dispositivos e transfiram os ativos.
Os representantes oficiais da Trezor e Ledger reiteram que nunca solicitam, por email, website ou carta física, que os utilizadores forneçam a frase-semente. Uma frase-semente vazada equivale a perder o controlo total da carteira.
Origem do ataque: vazamentos de dados do Ledger no passado tornaram-se alvo
Este tipo de fraude por carta física consegue atingir os destinatários com precisão devido a vazamentos de dados ocorridos nos últimos anos. Em 2020, a Ledger sofreu um incidente de segurança com o parceiro de comércio eletrónico Shopify, que expôs nomes e endereços físicos de dezenas de milhares de clientes. Em 2023, a Ledger Connect Kit também foi alvo de um ataque na cadeia de abastecimento. No início de 2024, a Trezor reportou a fuga de dados de contacto de 66.000 utilizadores.
No mês passado, a Ledger foi vítima de um ataque ao seu terceiro fornecedor de pagamentos, Global-e, que resultou na fuga de nomes e contactos de utilizadores. Apesar de a empresa afirmar que chaves privadas e informações de pagamento não foram comprometidas, esses dados podem ser utilizados em ataques de phishing. Mesmo que o dispositivo de carteira em si esteja seguro, a fuga de dados pessoais pode ser explorada repetidamente.
(Global-e, fornecedor de pagamentos da Ledger, sofre vazamento de dados; resposta oficial: “O dispositivo de carteira está seguro”)
Evolução das fraudes: de emails para engenharia social física
Observando as tendências recentes, os ataques de phishing evoluíram de emails e mensagens falsas de suporte ao cliente para a falsificação de aplicações, envio de dispositivos físicos falsificados e cartas físicas. As cartas físicas reduzem a desconfiança do utilizador, especialmente quando o design é altamente realista, tornando mais fácil a confusão. Essa sucessão de ataques reflete os riscos na proteção de dados e na dependência de terceiros na indústria de criptomoedas.
Dmitry Smilyanets alerta que, para os utilizadores, a principal linha de defesa continua a ser o princípio básico: “Nunca revele a frase-semente a ninguém, sob nenhuma circunstância.” Num contexto de incidentes de segurança cada vez mais frequentes, aumentar a vigilância dos utilizadores e a segurança da cadeia de abastecimento continuará a ser um desafio importante para a indústria.
Este artigo, Cuidado com carteiras frias! Utilizadores de Trezor e Ledger recebem cartas físicas com QR Codes de phishing, foi originalmente publicado na Chain News ABMedia.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
O X de Elon Musk para Bloquear Contas Automaticamente ao Publicar Criptomoeda pela Primeira Vez
A X está a implementar uma nova funcionalidade que bloqueia automaticamente as contas com o seu primeiro post de cripto para combater ataques de phishing. Esta medida tem como objetivo reduzir a utilização indevida de contas sequestradas para burlas, ao mesmo tempo que reforça a segurança dos utilizadores.
Coinpedia4h atrás
ZachXBT acusa a Circle de $420M em «falhas de conformidade» desde 2022
O detetive on-chain ZachXBT afirma que a Circle, a entidade emissora da stablecoin USDC (USDC), falhou em congelar ou colocar em blacklist cerca de 420 milhões de dólares em fluxos de fundos ilícitos desde 2022.
A Circle pode congelar fundos ilícitos e colocar endereços de carteiras em blacklist, mas ou tomou “ação mínima” para congelar os fluxos ilícitos, ou
Cointelegraph4h atrás
A Circle é acusada de tolerar o desvio de fundos ilegais de 420 milhões de dólares! ZachXBT revela uma falha de conformidade na USDC e desencadeia polémica
A empresa norte-americana de stablecoins Circle foi acusada de não conseguir congelar eficazmente mais de 420 milhões de dólares em fundos USDC suspeitos. O investigador ZachXBT indicou que, desde 2022, a Circle atrasou a ação de congelamento em vários incidentes de pirataria, levantando dúvidas no mercado sobre a sua conformidade. O ataque ao Drift Protocol no contexto do caso colocou ainda mais as críticas à Circle no centro das atenções. O mercado apelou para que a Circle aumentasse os seus padrões de gestão de risco; em seguida, os atrasos na execução de conformidade já causaram perdas graves aos utilizadores.
ChainNewsAbmedia5h atrás
O X de Elon Musk para implementar um kill switch de burla através do bloqueio automático dos primeiros que mencionem criptomoedas
A plataforma de redes sociais X irá bloquear automaticamente as contas que mencionem criptomoedas pela primeira vez, exigindo uma verificação adicional para dissuadir burlas de phishing de cripto. Esta nova medida tem como objetivo eliminar os incentivos para ataques que sequestram contas para promover tokens fraudulentos.
CoinDesk6h atrás
quatro.meme Devido a uma falha técnica, a criação de tokens no modo de taxas está suspensa; será feito o reembolso integral aos utilizadores afetados
O anúncio quatro.meme indica que, devido a uma falha no endereço de recolha de taxas do projeto que começa com 0x9f4, as transações de venda falharam. Foi colocada em pausa a criação de tokens relacionada e é recomendado aos utilizadores que deixem de negociar. Além disso, será feito o reembolso integral aos utilizadores afetados que tenham comprado antes das 22:50 de 3 de abril.
GateNews6h atrás
Carregar vídeos íntimos em troca de cripto para “cash collateral” para nu? O “Hero Loan” visa quem não tem para onde ir; em caso de incumprimento, carrega no OnlyFans.
Um produto que combina criptomoeda, conteúdo adulto e um mecanismo de empréstimos de alto risco gerou recentemente muita discussão na comunidade cripto e em plataformas sociais. O projecto, chamado «Hero Loan (Empréstimo Herói)», apresenta o slogan «empréstimos sem garantias», mas exige que os utilizadores carreguem vídeos privados como condição, e liga o risco de incumprimento a um mecanismo de monetização em plataformas de conteúdo adulto — levando muitos utilizadores da Internet a descrevê-lo como «extorsão de nudez em versão cripto».
O projecto chegou até a usar como frase de promoção «Se acha que isto não vai ser usado por ninguém, significa que ainda não chegou ao fundo do poço», visando de forma clara um público de utilizadores em situações de alto risco e com pressão extrema sobre o capital. No entanto, pouco depois da exposição, um utilizador afirmou que enviou um vídeo e não recebeu dinheiro, e um KOL respondeu também que o projecto parece ter fugido com o dinheiro.
Mas, falando a sério, um vídeo privado valer apenas 60 euros é mesmo muito miserável.
«Empréstimo Herói» mira pessoas sem saída
De acordo com a informação do site oficial, o produto opera na BNB Chain, com foco em «pessoas sem saída» e
ChainNewsAbmedia8h atrás
