Alcuni truffatori stanno inviando lettere fisiche ai proprietari di wallet hardware Ledger, chiedendo loro di convalidare le proprie seed phrase private nel tentativo di accedere ai wallet e svuotarli.
In un post su X del 29 aprile, l'utente Jacob Canfield ha condiviso una lettera fraudolenta che sembrava provenire da Ledger, ricevuta a casa sua. La lettere sosteneva che avesse bisogno di eseguire immediatamente un "aggiornamento di sicurezza critico" sul suo dispositivo.
La lettera – che presenta il logo di Ledger, l'indirizzo aziendale e un numero di riferimento – chiedeva di scansionare un codice QR e inserire la recovery phrase privata del wallet con la scusa di dover convalidare il dispositivo.
La lettera sostiene che "il mancato completamento di questo processo di convalida obbligatorio potrebbe comportare restrizioni all'accesso al tuo wallet e ai tuoi fondi".
Una seed phrase, o recovery phrase, è una sequenza di parole (solitamente 24) che sblocca l'accesso a un crypto-wallet. Un truffatore in possesso di questa frase può di fatto controllare il wallet associato, e pertanto trasferire liberamente le criptovalute in esso contenute.
Questo mese, l'account X di un rivenditore di wallet hardware ha annunciato di aver ricevuto diverse segnalazioni da parte di utenti Ledger che avevano ricevuto una lettera simile.
In risposta al post di Canfield, Ledger ha confermato che la lettera è una truffa e ha esortato gli utenti a rimanere vigili:
"Ledger non vi contatterà mai telefonicamente o tramite messaggi privati per chiedere la vostra recovery phrase di 24 parole. Se qualcuno lo fa, è una truffa. Vi preghiamo quindi di non interagire con account che affermano di essere dipendenti Ledger, o con chiunque offra aiuto per recuperare fondi."
Le lettere potrebbero essere legate al data leak del 2020
Canfield ha suggerito che i truffatori stanno inviando lettere ai clienti di Ledger i cui dati sono trapelati in rete quasi cinque anni fa. Nel luglio 2020, un hacker ha violato il database di Ledger e ha diffuso online le informazioni personali di oltre 270.000 clienti, inclusi nomi, numeri di telefono e indirizzi di casa.
L'anno seguente, diversi utenti Ledger hanno affermato di aver ricevuto per posta dispositivi Ledger falsi, manomessi e progettati per installare malware al momento dell'uso.