AI News CryptoTRADE THE NEWS
A black device in a green sealed pouch beside a

Golpes com cartas de wallets falsas: cuidado com a…

By AI News Crypto Editorial Team9 min de leitura

Golpes de cartas de carteiras de hardware falsas usam correio físico para se passar por Ledger, Trezor e outras marcas, pressionando os destinatários a um “substituição de segurança” ou “atualização de firmware” que extrai sua frase-semente. Uma vez que essas 12, 18 ou 24 palavras vazam, os atacantes podem recriar a carteira em outro lugar e mover fundos em transações que são tipicamente irreversíveis.

Principais Conclusões

  • Esses golpes são uma “armadilha de migração” em duas etapas: uma carta ou pacote físico fabrica autoridade, então um passo forçado de recuperação ou importação captura a frase-semente..
  • O atacante não precisa quebrar a criptografia de uma carteira de hardware. Eles só precisam da frase-semente, que empresas legítimas de carteiras não precisam e não pedirão.
  • Embalagens “seladas” e cartas com aparência de marca não são sinais de segurança. Proveniência e verificação independente são.
  • Se os fundos se moverem após um vazamento de chave, a recuperação geralmente é improvável, mesmo quando investigadores podem rastrear o rastro, então a prevenção é melhor que a resposta.

Como funcionam os golpes de cartas de carteira falsa

A peça começa com correspondência física porque contorna os filtros mentais de spam que as pessoas usam para e-mails e DMs. Uma carta em papel timbrado que parece oficial, às vezes acompanhada de um dispositivo não solicitado, cria a sensação de que um fabricante conhecido está realizando uma remediação oficial.

É por isso que esse padrão é frequentemente descrito como phishing físico: o método de entrega é offline, mas o conteúdo ainda é um fluxo de phishing.

A estrutura do golpe é consistente entre as variantes de "carta falsa da Ledger" e "golpe da carta da Trezor". A carta alega uma violação, exploração ou um problema de segurança urgente e enquadra o destinatário como exposto neste momento. A PCMag documentou uma versão em que golpistas enviaram hardware falso da Ledger com uma carta afirmando que o dispositivo existente da vítima não era seguro.

A Binance descreveu mais tarde uma configuração semelhante: um pacote não solicitado contendo um dispositivo Ledger e uma carta afirmando que foi enviado devido a uma violação de dados da Ledger, instruindo o usuário a substituir seu dispositivo.

A partir daí, a carta direciona a vítima para uma etapa de migração. As instruções geralmente apontam para uma URL ou um golpe de carteira com código QR que leva a um site semelhante ou solicita o download de um aplicativo. A vítima é instruída a "verificar", "restaurar" ou "importar" para garantir os fundos. Essa etapa é o objetivo inteiro.

Se a vítima digitar a frase-semente em qualquer coisa conectada à internet, a compra da carteira de hardware foi transformada em um evento de extração de chave.

É por isso que a categoria mais ampla de golpes de carteiras de criptomoedas e como evitá-los continua voltando a uma regra. O golpe colapsa se a verificação ocorrer através de canais oficiais encontrados de forma independente e a frase-semente nunca deixar o próprio processo de backup offline da vítima.

O mecanismo por trás do roubo

Uma carteira de hardware é um dispositivo de assinatura, não um cofre mágico. Ela é construída para manter as chaves privadas fora de um computador conectado à internet, enquanto ainda permite que as transações sejam assinadas. O ponto fraco visado pelo phishing de carteiras de hardware não é a criptografia do dispositivo. É o caminho de recuperação.

O caminho de recuperação é a frase-semente: tipicamente 12, 18 ou 24 palavras que controlam os fundos. A BitcoinO manual é explícito em dois pontos que importam aqui. Primeiro, essas palavras funcionam como a chave da carteira. Segundo, empresas legítimas de carteiras não precisam delas e não as solicitarão. É por isso que a narrativa de "substituir seu dispositivo" é tão eficaz. Ela disfarça um pedido pela única informação secreta que importa em um fluxo que soa como suporte ao cliente.

Uma vez que um atacante possui a frase-semente, o resto é simples. Eles podem restaurar a carteira em seu próprio dispositivo ou carteira de software e moverativospara fora. A carteira de hardware original da vítima ainda pode estar fisicamente em mãos e ainda ser "segura" no sentido restrito, enquanto os fundos já se foram porque o atacante está operando a partir de um estado de carteira clonada.

A embalagem "selada" não resolve isso. A Cointelegraph descreveu um caso em que um usuário confiou em uma carteira de hardware selada adquirida via TikTok e perdeu $6,9 milhões. O trecho não detalha completamente se a violação veio de uma semente pré-gerada, um fluxo de configuração manipulado ou um pacote re-selado, mas a lição é clara: a embalagem não é uma garantia criptográfica de proveniência.

Quando as chaves vazam e os fundos se movem, as opções do defensor diminuem rapidamente. A Cointelegraph observa que a SlowMist poderia rastrear os fundos roubados, mas descreveu pouca esperança de recuperação após avazamento da chave da carteira fria.Essa é a assimetria que esses golpes exploram.

Exemplos do mundo real e iscas comuns

A camada de persuasão é notavelmente repetitiva entre os canais. O Manual do Bitcoin descreve campanhas de phishing que se baseiam em frases de urgência como “atualização de segurança”, “ativos em atualização” e “atividade suspeita”, acompanhadas de impersonificação de marca. A versão em carta física usa o mesmo roteiro, apenas entregue em um envelope.

Três exemplos documentados mapeiam o padrão:

1. 20 de junho de 2021: O PCMag relatou que golpistas enviaram dispositivos Ledger falsos com uma carta afirmando que o dispositivo existente do destinatário era inseguro. A carta é o acessório de autoridade, e o dispositivo é o amplificador de confiança. 2.

24 de janeiro de 2024: O Manual do Bitcoin descreve um incidente de e-mail de impersonificação da Trezor ligado a uma violação de um provedor de terceiros e cita a Blockaid relatando perdas superiores a $600.000 de vítimas que responderam. Isso não é uma carta, mas mostra quão eficazes podem ser as comunicações de marca “com aparência oficial”, mesmo quando se originam de um domínio legítimo. 3.

12 de agosto de 2025: O Cointelegraph relatou a perda de $6,9 milhões do TikTok “carteira selada” e destacou o TikTok e plataformas sociais semelhantes como locais comuns para vendas de carteiras de hardware comprometidas e outros golpes.

As iscas convergem em uma ação: fazer a vítima realizar uma recuperação ou importação que ela não iniciou. É por isso que os códigos QR aparecem com tanta frequência. Um código QR remove a fricção de digitar uma URL e faz a transição do papel para o telefone parecer um passo normal de integração.

Alguns fluxos também tentam escalar da captura de seed para phishing de assinatura, onde a vítima é pressionada a aprovar uma transação ou mensagem que concede acesso ou permissões. A condição de vitória central do golpe da carta ainda é a frase seed, mas os mesmos truques de urgência e autoridade são usados para obter assinaturas quando o atacante não consegue obter as palavras.

Como identificá-los e evitá-los

A defesa não é “seja mais inteligente”. É remover as duas vantagens do golpe: o tempo e o canal. A urgência é a vantagem, e o código QR da carta oulinké a porta dos fundos.

Um processo de decisão simples quebra a maioria dos golpes de cartas de carteiras de hardware falsas:

1. Pare o fluxo de trabalho imediatamente. Não escaneie o código QR, não clique no link e não conecte um dispositivo não solicitado. 2. Verifique através de canais independentes. Use um marcador conhecido ou navegue manualmente até o site oficial do fabricante e procure um aviso de segurança lá. Não use os detalhes de contato impressos na carta. 3. Trate qualquer solicitação para inserir uma frase-semente em um site ou aplicativo como hostil.

A regra do Manual do Bitcoin é a que importa: empresas de carteira legítimas não precisam disso e não pedirão. 4. Separe "substituição de dispositivo" de "divulgação de chave." Um novo dispositivo pode ser configurado sem nunca digitar a semente em uma página da web.

A única vez que a frase-semente deve ser usada é em uma recuperação que o proprietário inicia, usando software confiável, não uma "atualização de segurança" iniciada por outra pessoa.

Aqui é onde as melhores práticas de carteiras de hardware deixam de ser uma lista de verificação genérica e se tornam uma postura. Assuma que dispositivos de entrada são não confiáveis até que se prove o contrário e assuma que instruções de entrada são adversariais até serem verificadas.

O caso do TikTok é o rótulo de aviso claro para a proveniência. A Cointelegraph descreve plataformas de mídia social, incluindo o TikTok, como locais comuns para fraudes e vendas de carteiras de hardware comprometidas. "Selado" é um sinal de marketing, não uma prova de segurança.

Perto do final de qualquer conversa sobre prevenção, o quadro mais amplo importa: hábitos de prevenção contra fraudes em carteiras. A mesma disciplina de verificação que bloqueia uma carta falsa da Ledger também bloqueia domínios semelhantes, downloads de aplicativos maliciosos e threads de suporte impersonados.

Se você já interagiu com um

O dano depende de qual passo foi tomado. Abrir uma carta não é o ponto de falha. O ponto de falha é entregar segredos ou migrar sob instruções do atacante.

Triagem da situação em ordem:

1. Se a frase-semente foi digitada em qualquer site ou aplicativo, trate-a como comprometida. O modelo do Manual do Bitcoin é implacável aqui: quem tem as 12, 18 ou 24 palavras controla os fundos. 2. Se uma transação foi assinada ou uma mensagem foi aprovada sob pressão, assuma que o atacante estava tentando phishing de assinatura e revise o que foi autorizado. O objetivo nesses fluxos é transformar um momento de pânico em uma permissão durável.

3. Se os fundos já se moveram, espere uma baixa probabilidade de recuperação. O exemplo da Cointelegraph observa que a SlowMist poderia rastrear os fundos roubados, mas descreveu pouca esperança de recuperação após o vazamento da chave.

O objetivo imediato após uma exposição suspeita é parar novas perdas, não discutir com a carta. Isso significa interromper quaisquer passos de "atualização" adicionais, verificar através de canais oficiais encontrados de forma independente e tratar quaisquer novas mensagens recebidas como parte da mesma campanha.

A verdade desconfortável é que a resposta geralmente é pior do que a prevenção, porque transferências de cripto são geralmente irreversíveis uma vez confirmadas. É por isso que essas fraudes são construídas em torno de um momento irreversível: tirar a frase-semente do dispositivo e fora do controle do proprietário.

A Análise

Eu vi pessoas tratarem um envelope com marca como uma atualização de segurança da Apple. Esse reflexo é exatamente o que os golpes de cartas de carteiras de hardware falsas estão comprando com o correio. A carta não é o hack. O hack é o fluxo de trabalho de "migração" forçada que transforma uma carteira de hardware em um evento de extração de frase-semente.

A concepção errônea mais cara é pensar que a embalagem é o limite de segurança. A perda de $6,9 milhões da Cointelegraph com a "carteira selada" no TikTok é o lembrete de que a proveniência supera o plástico de embalagem. Diminua o tempo, verifique a partir de seus próprios favoritos e mantenha a frase-semente em seu lugar. Se essas palavras nunca forem digitadas em um site ou aplicativo, o golpe não tem nada para roubar.

Fontes

Perguntas frequentes

O que devo fazer se receber uma carta dizendo que meu Ledger ou Trezor está comprometido?

Trate isso como hostil por padrão e pare o fluxo de trabalho. Não escaneie nenhum código QR ou use qualquer link ou número de telefone impresso na carta. Verifique navegando até o site oficial do fabricante através do seu próprio favorito ou digitando manualmente e verificando se há um aviso de segurança correspondente.

As equipes de suporte do Ledger ou Trezor alguma vez pedem sua frase-semente?

Não. A frase-semente é tipicamente composta por 12, 18 ou 24 palavras e funciona como a chave para os fundos, e empresas legítimas de carteiras não precisam dela e não a solicitarão. Qualquer solicitação para inseri-la em um site ou aplicativo é um sinal de alerta.

Uma carteira de hardware selada é segura se parecer não aberta?

Não necessariamente. A Cointelegraph descreveu um caso em que confiar em uma carteira de hardware selada adquirida via TikTok levou a uma perda de 6,9 milhões de dólares. A embalagem não é uma prova criptográfica de proveniência, especialmente quando o dispositivo vem de redes sociais ou marketplaces.

Como os golpes de carteiras com código QR se conectam às cartas de carteiras de hardware?

O código QR é frequentemente a ponte de uma carta física para um site de phishing ou download malicioso. Ele reduz a fricção e faz o fluxo de “substituir/atualizar” parecer oficial. O objetivo final geralmente é fazer com que você revele sua frase-semente ou aprove uma ação insegura.

Se eu inseri minha frase-semente em um site, posso recuperar minha cripto?

A recuperação é frequentemente improvável uma vez que as chaves vazam e os fundos se movem. A Cointelegraph observa que a SlowMist poderia rastrear fundos roubados em um caso, mas descreveu pouca esperança de recuperação após o vazamento da chave da carteira fria. A prioridade se torna parar novas perdas e tratar a frase-semente como comprometida.