Peneliti keamanan mengamati penyerang mengirimkan surat penipuan kepada pemilik perangkat Trezor dan Ledger. Surat yang dikirim tampaknya merujuk pada dompet kripto penerima dan mendesak tindakan terkait frasa seed mereka. Penyerang merancang surat agar terlihat sah dengan detail kustom di dalam amplop cetak. Penerima sering menerima surat setelah pembelian perangkat keras baru atau visibilitas pelacakan pesanan online.
Teks penipuan menginstruksikan pengguna untuk mengunjungi domain berbahaya untuk "pembaruan keamanan" atau penawaran penebusan perangkat keras. Di situs penipuan, pengunjung melihat prompt untuk memasukkan kata-kata pribadi mereka untuk "memverifikasi kepemilikan" atau "membuka aset". Aktor ancaman menggunakan frasa seed yang dicuri untuk mentransfer aset digital keluar dari dompet yang ditargetkan. Rekayasa sosial melalui surat fisik meningkatkan kepercayaan korban terhadap keaslian penipuan.
Peneliti menyoroti bahwa taktik ini memanfaatkan data yang diambil dari catatan publik, basis data pengecer, atau notifikasi pengiriman. Penyerang dapat menyesuaikan surat dengan nama, detail model dompet parsial, dan kontak dukungan yang diklaim. Kustomisasi ini, oleh karena itu, membuat penipuan surat fisik lebih meyakinkan daripada upaya phishing email atau SMS generik. Surat yang dikirim sering memperingatkan "pemberitahuan keamanan mendesak" atau "penutupan akun" untuk menekan tanggapan cepat.
Perusahaan keamanan memperingatkan bahwa dompet perangkat keras hanya melindungi dari peretasan jarak jauh, bukan rahasia yang dibagikan pengguna. Jika pengguna mengungkapkan frasa seed mnemonik atau kunci pribadi mereka, penyerang dapat melewati perlindungan perangkat keras sepenuhnya. Selain itu, penipu mungkin menyertakan kode QR yang terhubung langsung ke formulir pengumpulan seed berbahaya. Pengguna melaporkan menerima surat ini berminggu-minggu setelah pesanan dompet perangkat keras mereka dikirim.
Klaim pengembalian dana atau peningkatan dalam surat sering menggoda pengguna untuk mengambil tindakan segera. Peneliti mengatakan banyak korban salah menafsirkan elemen branding sah yang disertakan dalam amplop penipuan. Dalam beberapa kasus, penyerang meniru dokumentasi dukungan resmi Ledger atau Trezor. Surat fisik memungkinkan penipu untuk melewati filter spam email dan blokir penipuan SMS.
Bagaimana Pengguna Dapat Melindungi Diri dari Penipuan Berbasis Surat
Ahli keamanan mendesak pengguna dompet perangkat keras untuk memperlakukan surat yang tidak diminta dengan kecurigaan. Pengguna harus memverifikasi klaim apa pun yang memerlukan entri frasa seed dengan saluran dukungan resmi. Penyedia dompet sah tidak pernah meminta frasa seed, kunci pribadi, atau kata pemulihan untuk "verifikasi". Jika pemberitahuan surat tampak mendesak atau mengancam, penerima harus memeriksa catatan pesanan dan halaman dukungan resmi.
Pengguna juga harus memastikan bahwa notifikasi pelacakan pengiriman mereka berasal dari domain pengecer yang berwenang. Setiap penawaran tidak diminta dari pihak ketiga yang terkait dengan aset kripto harus dihindari sepenuhnya. Rujukan kriminal meningkat untuk kampanye penipuan yang menggabungkan surat yang dipersonalisasi dengan formulir online palsu. Melaporkan surat mencurigakan kepada penegak hukum dapat membantu investigasi di masa depan. Forum komunitas juga berbagi contoh surat penipuan untuk mendidik pembeli dompet perangkat keras baru.
Berita Kripto yang Disorot:
Upbit Mencatatkan Bittensor (TAO) dengan Pasangan Perdagangan KRW, BTC, dan USDT
