Surat Fisik Palsu Targetkan Pengguna Trezor & Ledger untuk Curi Kripto

Pelaku kejahatan siber kini menggunakan metode yang tidak biasa dalam kampanye pencurian kripto: mengirim surat fisik (snail mail) yang menyamar sebagai komunikasi resmi dari produsen hardware wallet kripto.
Surat tersebut mengatasnamakan Trezor dan Ledger, serta meminta penerima melakukan “Authentication Check” atau “Transaction Check” untuk menghindari gangguan pada perangkat mereka. Korban didorong untuk memindai kode QR yang ternyata mengarah ke situs phishing.
Modus: Ciptakan Urgensi Lewat Surat Resmi
Beberapa pengguna hardware wallet melaporkan menerima surat yang dicetak menggunakan kop resmi palsu seolah berasal dari tim keamanan dan kepatuhan perusahaan.
Isi surat umumnya menyatakan bahwa:
- Fitur autentikasi baru akan segera menjadi wajib
- Pengguna harus menyelesaikan proses verifikasi sebelum tanggal tertentu
- Kegagalan melakukan verifikasi dapat menyebabkan gangguan akses
Salah satu surat yang menyamar sebagai Trezor menyebut bahwa proses “Authentication Check” harus diselesaikan sebelum 15 Februari 2026 untuk mencegah hilangnya fungsi perangkat.
Versi lain yang mengatasnamakan Ledger menggunakan narasi serupa dengan istilah “Transaction Check.”
QR Code Mengarah ke Situs Phishing
Kode QR dalam surat mengarah ke domain yang dirancang menyerupai situs resmi, seperti:
- trezor.authentication-check[.]io
- ledger.setuptransactioncheck[.]com
Halaman tersebut menampilkan antarmuka mirip halaman pengaturan resmi dan memberikan peringatan tambahan untuk memperkuat rasa urgensi, termasuk ancaman:
- Akses terbatas ke wallet
- Gangguan penandatanganan transaksi
- Masalah kompatibilitas pembaruan firmware
Pada tahap akhir, korban diminta memasukkan recovery phrase (seed phrase) dengan alasan verifikasi kepemilikan perangkat.
Target Utama: Recovery Phrase
Recovery phrase atau seed phrase adalah representasi tekstual dari private key dompet kripto. Siapa pun yang memiliki frasa ini dapat:
- Mengimpor wallet ke perangkat lain
- Mengambil alih kendali penuh atas aset
- Menguras seluruh dana dalam dompet
Situs phishing menyediakan opsi memasukkan frasa 12, 20, atau 24 kata. Setelah dikirim, data tersebut langsung diteruskan ke server pelaku melalui API backend, memungkinkan mereka segera mengambil alih dompet korban.
Dugaan Sumber Data Target
Belum diketahui secara pasti bagaimana daftar target dipilih. Namun, baik Trezor maupun Ledger pernah mengalami insiden kebocoran data dalam beberapa tahun terakhir yang mengekspos informasi kontak pelanggan.
Kemungkinan besar data tersebut digunakan untuk mengirim surat langsung ke alamat fisik korban.
Phishing Lewat Pos Masih Jarang, Tapi Efektif
Kampanye phishing melalui surat fisik relatif jarang dibanding email atau SMS. Namun metode ini:
- Meningkatkan kredibilitas karena berbentuk dokumen cetak
- Menghindari filter spam dan deteksi otomatis
- Menyasar korban secara langsung dan personal
Pada 2021, pernah dilaporkan perangkat Ledger modifikasi dikirim melalui pos untuk mencuri seed phrase saat proses setup. Kampanye serupa juga terjadi pada 2025.
Prinsip Keamanan yang Harus Diingat
Produsen hardware wallet tidak pernah:
- Meminta seed phrase melalui website
- Meminta scan QR untuk verifikasi wallet
- Mengirim surat meminta autentikasi manual
- Meminta recovery phrase melalui email, telepon, atau pesan
Recovery phrase hanya boleh dimasukkan langsung di perangkat hardware wallet saat proses pemulihan resmi.
Rekomendasi untuk Pengguna Hardware Wallet
Jika menerima surat semacam ini:
- Jangan pindai QR code
- Jangan kunjungi domain mencurigakan
- Jangan pernah memasukkan recovery phrase di website mana pun
- Laporkan kejadian ke produsen resmi
- Pantau aktivitas wallet Anda
Kewaspadaan menjadi kunci, karena siapa pun yang memperoleh seed phrase Anda secara instan mendapatkan kontrol penuh atas aset kripto Anda.








