Truffa per utenti Trezor e Ledger: lettere postali per rubare le criptovalute

Una nuova campagna di phishing prende di mira gli utenti dei wallet hardware Trezor e Ledger, ma questa volta non passa da email o messaggi sui social: i truffatori sfruttano la posta tradizionale, inviando lettere cartacee che imitano in modo convincente le comunicazioni ufficiali delle due aziende. L'obiettivo è indurre i destinatari a scansionare un codice QR e a inserire la propria recovery phrase su siti web controllati dagli attaccanti, così da ottenere il pieno controllo dei portafogli e sottrarre i fondi in criptovalute.

Finti "controlli" obbligatori e scadenze per creare urgenza

Le lettere segnalate fingono di provenire dai team sicurezza e compliance di Trezor e Ledger e sono stampate su carta intestata che replica logo e stile dei produttori, nel tentativo di risultare credibili a un primo sguardo. Nel caso di Trezor, il messaggio parla di un presunto "Authentication Check" che starebbe per diventare obbligatorio, invitando l'utente a completare la procedura entro il 15 febbraio 2026 per evitare perdite di funzionalità sul dispositivo e problemi di accesso a Trezor Suite.

Una variante che imita Ledger fa riferimento invece a una funzione chiamata "Transaction Check", descritta come requisito necessario per continuare a utilizzare il wallet senza interruzioni, con una scadenza fissata in ottobre 2025 per l'attivazione. In entrambe le versioni, il linguaggio è studiato per generare pressione psicologica: si parla di possibili blocchi, errori di firma delle transazioni e limitazioni future se l'utente non segue le istruzioni riportate nella lettera.

Al centro dell'attacco c'è un QR code stampato sulle lettere, che rimanda a pagine web costruite per imitare i siti di configurazione ufficiali dei produttori. I nomi di dominio osservati includono indirizzi come "trezor.authentication-check.io" e "ledger.setuptransactioncheck.com", scelti appositamente per sembrare legittimi agli occhi di un utente non particolarmente tecnico.

Una volta aperto il sito, l'utente viene guidato attraverso una finta procedura di set-up o verifica, al termine della quale gli viene richiesto di inserire la propria recovery phrase in 12, 20 o 24 parole, con la scusa di dover "verificare la proprietà del dispositivo" o abilitare la nuova funzione di sicurezza. I dati inseriti vengono poi inviati a un endpoint controllato dagli attaccanti, che possono così importare il wallet su un proprio dispositivo e procedere rapidamente al trasferimento delle criptovalute verso indirizzi sotto il loro controllo.

Dati esposti e precedenti di campagne via posta

Non è chiaro come vengano selezionati i destinatari, ma il fatto che le lettere raggiungano direttamente utenti di Trezor e Ledger suggerisce l'uso di elenchi di contatti ottenuti in precedenti violazioni di dati. Entrambe le aziende hanno infatti subito in passato incidenti di sicurezza che hanno esposto informazioni personali come nomi, indirizzi email e, in alcuni casi, indirizzi postali dei clienti, materiale che può poi essere riutilizzato in campagne di phishing mirato.

L'uso della posta tradizionale non è completamente inedito nel settore: nel 2021 erano state segnalate spedizioni di dispositivi Ledger manomessi, progettati per sottrarre la seed phrase durante la configurazione iniziale, e nel 2025 sono emerse altre campagne postali mirate agli utenti Ledger con lettere molto simili a quelle osservate oggi. Tuttavia, gli attacchi via posta restano relativamente rari rispetto ai più consueti tentativi via email, SMS o social, e proprio per questo possono risultare più insidiosi perché meno attesi.

Seed phrase: perché non va mai condivisa

La seed phrase, o recovery phrase, è la rappresentazione testuale delle chiavi private che governano l'accesso al wallet: chiunque la possieda può ricostruire il portafoglio su un altro dispositivo e disporre liberamente dei fondi contenuti. Per questo motivo i produttori di wallet hardware ribadiscono da anni che non chiederanno mai agli utenti di inserire, scansionare o inviare la propria recovery phrase tramite siti web, app, email, moduli online o comunicazioni via posta.

La regola di base rimane che la seed phrase va digitata solo sul dispositivo hardware, esclusivamente quando si ripristina un wallet, e non deve mai essere inserita in pagine web o applicazioni di origine dubbia. In presenza di comunicazioni che parlano di "verifica del backup", "controllo transazioni" o "autenticazione obbligatoria" e che richiedono la seed phrase, è prudente considerarle automaticamente sospette e verificarne l'autenticità passando dai canali ufficiali di Trezor o Ledger, senza utilizzare QR code o link presenti nel messaggio.