Security

Surat Fisik Palsu Targetkan Pengguna Trezor & Ledger untuk Curi Kripto

Pelaku kejahatan siber kini menggunakan metode yang tidak biasa dalam kampanye pencurian kripto: mengirim surat fisik (snail mail) yang menyamar sebagai komunikasi resmi dari produsen hardware wallet kripto.

Surat tersebut mengatasnamakan Trezor dan Ledger, serta meminta penerima melakukan “Authentication Check” atau “Transaction Check” untuk menghindari gangguan pada perangkat mereka. Korban didorong untuk memindai kode QR yang ternyata mengarah ke situs phishing.


Modus: Ciptakan Urgensi Lewat Surat Resmi

Beberapa pengguna hardware wallet melaporkan menerima surat yang dicetak menggunakan kop resmi palsu seolah berasal dari tim keamanan dan kepatuhan perusahaan.

Isi surat umumnya menyatakan bahwa:

  • Fitur autentikasi baru akan segera menjadi wajib
  • Pengguna harus menyelesaikan proses verifikasi sebelum tanggal tertentu
  • Kegagalan melakukan verifikasi dapat menyebabkan gangguan akses

Salah satu surat yang menyamar sebagai Trezor menyebut bahwa proses “Authentication Check” harus diselesaikan sebelum 15 Februari 2026 untuk mencegah hilangnya fungsi perangkat.

Versi lain yang mengatasnamakan Ledger menggunakan narasi serupa dengan istilah “Transaction Check.”


QR Code Mengarah ke Situs Phishing

Kode QR dalam surat mengarah ke domain yang dirancang menyerupai situs resmi, seperti:

  • trezor.authentication-check[.]io
  • ledger.setuptransactioncheck[.]com

Halaman tersebut menampilkan antarmuka mirip halaman pengaturan resmi dan memberikan peringatan tambahan untuk memperkuat rasa urgensi, termasuk ancaman:

  • Akses terbatas ke wallet
  • Gangguan penandatanganan transaksi
  • Masalah kompatibilitas pembaruan firmware

Pada tahap akhir, korban diminta memasukkan recovery phrase (seed phrase) dengan alasan verifikasi kepemilikan perangkat.


Target Utama: Recovery Phrase

Recovery phrase atau seed phrase adalah representasi tekstual dari private key dompet kripto. Siapa pun yang memiliki frasa ini dapat:

  • Mengimpor wallet ke perangkat lain
  • Mengambil alih kendali penuh atas aset
  • Menguras seluruh dana dalam dompet

Situs phishing menyediakan opsi memasukkan frasa 12, 20, atau 24 kata. Setelah dikirim, data tersebut langsung diteruskan ke server pelaku melalui API backend, memungkinkan mereka segera mengambil alih dompet korban.


Dugaan Sumber Data Target

Belum diketahui secara pasti bagaimana daftar target dipilih. Namun, baik Trezor maupun Ledger pernah mengalami insiden kebocoran data dalam beberapa tahun terakhir yang mengekspos informasi kontak pelanggan.

Kemungkinan besar data tersebut digunakan untuk mengirim surat langsung ke alamat fisik korban.


Phishing Lewat Pos Masih Jarang, Tapi Efektif

Kampanye phishing melalui surat fisik relatif jarang dibanding email atau SMS. Namun metode ini:

  • Meningkatkan kredibilitas karena berbentuk dokumen cetak
  • Menghindari filter spam dan deteksi otomatis
  • Menyasar korban secara langsung dan personal

Pada 2021, pernah dilaporkan perangkat Ledger modifikasi dikirim melalui pos untuk mencuri seed phrase saat proses setup. Kampanye serupa juga terjadi pada 2025.


Prinsip Keamanan yang Harus Diingat

Produsen hardware wallet tidak pernah:

  • Meminta seed phrase melalui website
  • Meminta scan QR untuk verifikasi wallet
  • Mengirim surat meminta autentikasi manual
  • Meminta recovery phrase melalui email, telepon, atau pesan

Recovery phrase hanya boleh dimasukkan langsung di perangkat hardware wallet saat proses pemulihan resmi.


Rekomendasi untuk Pengguna Hardware Wallet

Jika menerima surat semacam ini:

  • Jangan pindai QR code
  • Jangan kunjungi domain mencurigakan
  • Jangan pernah memasukkan recovery phrase di website mana pun
  • Laporkan kejadian ke produsen resmi
  • Pantau aktivitas wallet Anda

Kewaspadaan menjadi kunci, karena siapa pun yang memperoleh seed phrase Anda secara instan mendapatkan kontrol penuh atas aset kripto Anda.

Leave a Reply

Your email address will not be published. Required fields are marked *


Back to top button