As técnicas de fraude em criptomoedas voltaram a evoluir, com vários utilizadores de carteiras físicas, incluindo Trezor, Ledger e outros, a reportar recentemente o recebimento de cartas físicas disfarçadas de notificações oficiais. Essas cartas solicitam a digitalização de um código QR para uma verificação forçada, na verdade, enganando os utilizadores para inserirem a frase-semente, permitindo assim o roubo de ativos. Este tipo de ataque não é novo e reforça os riscos de vazamento de dados pessoais e de engenharia social a longo prazo.
Cartas físicas disfarçadas de notificações oficiais exigem “verificação de identidade” dentro de um prazo
A equipa de cibersegurança Dmitry Smilyanets destacou que vários utilizadores receberam cartas impressas assinadas por Trezor ou Ledger, contendo afirmações de que é necessário completar uma “verificação de identidade (Authentication Check)” ou uma “verificação de transação (Transaction Check)” dentro de um prazo específico, sob pena de limitação do dispositivo.
Segundo relatos, as cartas apresentam um acabamento detalhado, incluindo assinaturas falsificadas, logótipos de marcas e etiquetas anti-falsificação, além de um código QR de verificação. Em alguns casos, as cartas até usaram a assinatura do CEO da Trezor, Matěj Žák.
Digitalizar o QR Code leva a um site falso, induzindo a inserir a frase-semente
Dmitry Smilyanets relatou que o QR Code nas cartas direciona o destinatário para um site malicioso que imita a página oficial, solicitando a inserção da frase-semente da carteira para completar uma suposta “verificação de segurança”. Uma vez inserida, a informação é enviada através de uma API de backend para os atacantes, permitindo que eles importem a carteira em outros dispositivos e transfiram os ativos.
Os representantes oficiais da Trezor e Ledger reiteram que nunca solicitam, por email, website ou carta física, que os utilizadores forneçam a frase-semente. Uma frase-semente vazada equivale a perder o controlo total da carteira.
Origem do ataque: vazamentos de dados do Ledger no passado tornaram-se alvo
Este tipo de fraude por carta física consegue atingir os destinatários com precisão devido a vazamentos de dados ocorridos nos últimos anos. Em 2020, a Ledger sofreu um incidente de segurança com o parceiro de comércio eletrónico Shopify, que expôs nomes e endereços físicos de dezenas de milhares de clientes. Em 2023, a Ledger Connect Kit também foi alvo de um ataque na cadeia de abastecimento. No início de 2024, a Trezor reportou a fuga de dados de contacto de 66.000 utilizadores.
No mês passado, a Ledger foi vítima de um ataque ao seu terceiro fornecedor de pagamentos, Global-e, que resultou na fuga de nomes e contactos de utilizadores. Apesar de a empresa afirmar que chaves privadas e informações de pagamento não foram comprometidas, esses dados podem ser utilizados em ataques de phishing. Mesmo que o dispositivo de carteira em si esteja seguro, a fuga de dados pessoais pode ser explorada repetidamente.
(Global-e, fornecedor de pagamentos da Ledger, sofre vazamento de dados; resposta oficial: “O dispositivo de carteira está seguro”)
Evolução das fraudes: de emails para engenharia social física
Observando as tendências recentes, os ataques de phishing evoluíram de emails e mensagens falsas de suporte ao cliente para a falsificação de aplicações, envio de dispositivos físicos falsificados e cartas físicas. As cartas físicas reduzem a desconfiança do utilizador, especialmente quando o design é altamente realista, tornando mais fácil a confusão. Essa sucessão de ataques reflete os riscos na proteção de dados e na dependência de terceiros na indústria de criptomoedas.
Dmitry Smilyanets alerta que, para os utilizadores, a principal linha de defesa continua a ser o princípio básico: “Nunca revele a frase-semente a ninguém, sob nenhuma circunstância.” Num contexto de incidentes de segurança cada vez mais frequentes, aumentar a vigilância dos utilizadores e a segurança da cadeia de abastecimento continuará a ser um desafio importante para a indústria.
Este artigo, Cuidado com carteiras frias! Utilizadores de Trezor e Ledger recebem cartas físicas com QR Codes de phishing, foi originalmente publicado na Chain News ABMedia.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
Related Articles
Galaxy:A computação quântica constitui uma ameaça real ao Bitcoin, mas não uma crise urgente, cerca de 7 milhões de BTC em estado de exposição prolongada
O responsável de pesquisa da Galaxy Digital, Alex Thorn, apontou que a computação quântica representa uma ameaça ao Bitcoin, mas não é urgente no momento e os investidores não precisam entrar em pânico. Aproximadamente 7 milhões de BTC estão em risco a longo prazo, mas a capacidade quântica atual não consegue quebrá-los, enquanto os desenvolvedores já apresentaram múltiplas soluções para lidar com isso.
GateNews1h atrás
Diretor do FBI admite gastar dinheiro para comprar "dados de localização" para rastrear cidadãos americanos! Criticado por violar a Quarta Emenda da Constituição
Diretor do FBI Kash Patel admitiu durante depoimento no Senado que o FBI rastreou cidadãos americanos através da compra de dados de localização, sem necessidade de mandado judicial, provocando críticas severas do senador Ron Wyden, que considera tal ação uma violação da Quarta Emenda e apela por reformas legislativas para limitar esse tipo de comportamento. Esta descoberta revela que o governo, ao utilizar dados comerciais, pode criar riscos generalizados de vigilância.
動區BlockTempo1h atrás
Marido acusa a esposa de furtar mais de 2 mil bitcoins! Juiz: a probabilidade de sucesso do autor é muito alta
O Tribunal Superior do Reino Unido está a analisar um caso de roubo de bitcoin em que o autor acusa a esposa de ter roubado 2.323 bitcoins e de ter fotografado a frase-semente através de câmaras de vigilância. O tribunal considerou que as provas são desfavoráveis ao réu, incluindo gravações de áudio e equipamentos apreendidos; alguns pedidos foram rejeitados, mas o autor tem uma probabilidade muito elevada de ganhar o caso, e o tribunal manterá a ordem de congelamento de bens.
区块客1h atrás
Homem britânico acusa ex-mulher de roubar 2323 BTC após divórcio, com valor envolvido de aproximadamente 238 milhões de dólares
Gate News informa que, a 19 de março, um homem acusou a sua ex-esposa de ter roubado mais de 2323 bitcoins do seu carteira após o divórcio, transferindo-os para um local inacessível, com um valor máximo de até 180 milhões de libras esterlinas (cerca de 238 milhões de dólares). O demandante, Ping Fai Yuen, já entrou com uma ação na justiça de Londres contra a ex-esposa, Fun Yung Li. De acordo com o documento de decisão divulgado em 10 de março pelo tribunal de Londres, desde o início do processo, o valor estimado dos bitcoins envolvidos chegou a atingir até 180 milhões de libras esterlinas.
GateNews1h atrás
Jornalista israelita recebe ameaças de morte após reportagem, "apostadores" do Polymarket viram maníacos?
Um repórter militar do *Times of Israel* israelita, Emanuel Fabian, revelou recentemente que foi alvo de assédio contínuo por apostadores associados à Polymarket após relatar que um míssil balístico iraniano atingiu um terreno vazio em Beit Shemesh, nos arredores de Jerusalém, e até recebeu ameaças de morte.
Este incidente é especialmente impactante não apenas porque envolve notícias da linha de frente de guerra e um mercado de previsão com um fundo que ultrapassa 14 milhões de dólares, mas também porque revela uma questão cada vez mais crítica: quando os lucros dos participantes do mercado começam a depender da narrativa mediática, da informação pública e até de eventos violentos em si, os mercados de previsão estão realmente a fazer "descoberta de preços" ou estão a criar incentivos perigosos para o mundo real?
Por que um relatório da linha de frente provocou um cerco de apostadores?
"Naquele dia, no blogue em tempo real do *Times of Israel*, reportei que o míssil atingiu um terreno vazio, sem
区块客2h atrás
Hackers atacaram a empresa americana P3 Global Intel e roubaram milhões de registos confidenciais de denúncias policiais
Notícia Gate News: a 19 de março, hackers afirmaram ter comprometido a empresa americana P3 Global Intel, roubando milhões de relatórios confidenciais de denúncias policiais. De acordo com os hackers, eles conseguiram controlar uma conta de cliente da P3 Global Intel através de engenharia social e, posteriormente, exploraram vulnerabilidades do sistema para obter uma grande quantidade de dados. A P3 Global Intel é uma empresa que fornece serviços de denúncias anónimas para agências de aplicação da lei, e este vazamento de dados envolve informações altamente sensíveis.
GateNews2h atrás
