- Surat fisik menggantikan email untuk menyampaikan kampanye phishing dompet perangkat keras
- Kode QR dalam amplop mengarahkan korban ke situs pengambilan kredensial palsu
- Pemilik Trezor dan Ledger menerima pemberitahuan mendesak yang meminta pemeriksaan otentikasi
Para ahli telah memperingatkan surat fisik digunakan dalam kampanye pencurian mata uang kripto yang mengandalkan kode QR dan peringatan mendesak untuk mengelabui pemilik dompet perangkat keras.
Pendekatan ini menggantikan email dengan surat cetak, namun teknik yang mendasarinya masih berupa phishing tradisional, menurut pakar keamanan siber Dmitry Smilenet yang merinci menerima satu surat tersebut.
Alih-alih lampiran berbahaya, korban menerima amplop yang tampaknya berasal dari tim keamanan yang terkait dengan merek dompet perangkat keras.
Kode QR mengarah ke situs pengumpulan kredensial
Surat-surat yang mengklaim Pemeriksaan Otentikasi atau Pemeriksaan Transaksi akan segera diwajibkan untuk melanjutkan akses dompet, dan menginstruksikan pengguna untuk memindai kode QR untuk menghindari gangguan, dengan tenggat waktu yang diperpanjang hingga awal tahun 2026.
Setelah dipindai, kode tersebut mengarahkan pengguna ke situs web berbahaya yang meniru halaman pengaturan resmi yang terkait dengan perangkat Trezor dan Ledger.
Satu domain yang terkait dengan tema Ledger telah offline, sementara domain bertema Trezor — tetap dapat diakses tetapi ditandai oleh Cloudflare sebagai infrastruktur phishing.
Situs penipuan menginstruksikan pengunjung untuk menyelesaikan proses otentikasi sebelum batas waktu yang ditentukan, memperingatkan bahwa kegagalan dapat membatasi akses dompet atau mengganggu penandatanganan transaksi.
Jika individu melanjutkan, mereka akan diminta untuk memasukkan frase pemulihan dompet mereka dengan klaim bahwa verifikasi kepemilikan diperlukan.
Halaman tersebut menerima 12, 20, atau 24 — frasa kata dan meneruskan informasi tersebut melalui titik akhir API backend yang dikendalikan oleh penyerang.
Dengan data tersebut, pelaku ancaman dapat mengimpor dompet dan mentransfer dana tanpa interaksi lebih lanjut.
Masih belum jelas bagaimana penerima dipilih, meskipun pelanggaran data sebelumnya yang melibatkan vendor dompet perangkat keras mengungkap rincian kontak pelanggan, sehingga menimbulkan pertanyaan tentang apakah alamat surat yang bocor digunakan kembali untuk kampanye phishing fisik.
Frasa pemulihan dompet perangkat keras berfungsi sebagai bentuk tekstual dari kunci pribadi yang mengendalikan akses ke dana mata uang kripto.
Siapa pun yang mendapatkan frasa tersebut mendapatkan kendali penuh atas dompet terkait.
Produsen menyatakan bahwa frasa pemulihan hanya boleh dimasukkan langsung di perangkat keras selama pemulihan dan tidak boleh dimasukkan di situs web atau browser seluler.
Vendor keamanan mencatat bahwa perlindungan teknis seperti perangkat lunak firewall dapat mencegah banyak koneksi jaringan yang tidak sah.
Kuat perlindungan titik akhir tetap penting untuk mendeteksi dan memblokir aktivitas mencurigakan di masing-masing perangkat.
Pengguna juga harus terus memperbarui penghapusan malware alat untuk memastikan bahwa perangkat lunak berbahaya tidak membahayakan dompet saat berinteraksi dengan tautan atau unduhan apa pun.
Peralihan ke surat siput tidak memperkenalkan metode teknis baru, namun hal ini menunjukkan bahwa penyerang terus mengadaptasi mekanisme pengiriman ketika saluran digital menjadi jenuh.
Hal baru terletak pada sampulnya, bukan pada teknik eksploitasinya – dan perbedaan tersebut mungkin cukup untuk mengurangi skeptisisme di kalangan penerima.
Melalui BleepingComputer
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
