Donos de hardware wallets são alvo de golpe via correio
Golpistas têm enviado cartas que imitam Ledger e Trezor para induzir donos de hardware wallets a acessar sites falsos de verificação. A tática usa engenharia social para contornar defesas digitais, mirando a frase-semente e rotinas de atualização.
Cartas impressas imitam Ledger e Trezor e empurram usuários para sites falsos de “verificação”
Uma campanha de phishing fora do padrão digital tem mirado usuários de carteiras físicas de cripto. Os golpistas enviam correspondências em papel que mimetizam a identidade visual de fabricantes como Ledger e Trezor e recorrem ao tema de “atualização” do dispositivo para direcionar vítimas a páginas de verificação maliciosas. A promessa é simples e urgente: validar o equipamento para manter a segurança, quando, na prática, o objetivo é levar o usuário a interagir com sites controlados pelos atacantes.
O expediente via correio tradicional contorna filtros de e-mail e a fadiga de alertas que já não surpreendem o investidor acostumado a esquemas por SMS, WhatsApp e e-mail. Ao visar proprietários de hardware wallets, os criminosos exploram o elo menos técnico do sistema — a decisão humana — tentando transformar a robustez do armazenamento offline em uma porta de entrada por engenharia social. O apelo à autoridade (marca reconhecida) e ao medo de perda (bloqueio ou desatualização do dispositivo) são gatilhos clássicos nessa abordagem.
Em golpes dessa natureza, é comum que as mensagens instruam o usuário a acessar um endereço “oficial”, sob a promessa de validar o dispositivo ou concluir uma atualização de segurança. A partir daí, o roteiro costuma buscar informações sensíveis, como a frase-semente, ou induzir a instalação de softwares e extensões que, mais tarde, facilitam o esvaziamento da carteira. Nada disso depende de uma falha técnica no hardware; depende, sobretudo, de convencer alguém a inserir dados que jamais deveriam sair do papel (ou do próprio dispositivo, nos fluxos corretos).
O episódio expõe um ponto recorrente no mercado: a segurança cripto não é binária e tampouco termina com a compra de um dispositivo físico. Bases de dados expostas e traços públicos de atividade on-chain podem, em tese, ajudar na seleção de alvos mais prováveis — e, com o custo baixo de impressão e postagem, o retorno esperado pelos golpistas se torna assimétrico. Nesse sentido, a fronteira entre o digital e o físico deixa de existir para quem monetiza a atenção e a ansiedade de titulares de ativos.
Boas práticas reduzem de forma drástica o risco. Fabricantes legítimos não solicitam a frase-semente por carta, e atualizações devem ocorrer apenas pelos aplicativos e sites oficiais, acessados por URLs verificadas (digitadas diretamente, nunca por atalhos de mensagens). Desconfie de urgência e de instruções que contrariem o fluxo padrão do seu dispositivo. Ative recursos como passphrase adicional quando fizer sentido para o seu perfil, mantenha backups offline em locais separados e considere ambientes dedicados (computador limpo) para interações críticas. Em caso de dúvida, a regra de ouro persiste: a seed não é digitada em lugar algum além do que seu próprio processo recomenda — e jamais em páginas da web.
O pano de fundo é conhecido: com o mercado de criptoativos movimentando trilhões globalmente, golpes acompanham o ciclo e se sofisticam na forma, ainda que repitam o mesmo conteúdo. Para quem deseja compreender melhor como esses esquemas operam, reconhecer sinais de alerta e separar o risco do ativo das práticas fraudulentas, o BlockTrends oferece o curso Como se Proteger de Fraudes e Golpes, que explora conceitos de engenharia social, mapeia vetores comuns e propõe rotinas práticas de proteção.
