Nieuwe crypto phishing campagne via ouderwetse post

Crypto criminelen kiezen een nieuwe aanpak om hardware wallet gebruikers te misleiden. In plaats van e-mails sturen zij nu fysieke brieven naar bezitters van Ledger en Trezor wallets. In deze professioneel ogende poststukken doen de aanvallers zich voor als officiële supportteams en proberen zij slachtoffers te verleiden hun recovery seed phrase in te voeren op phishing websites.

Valse brieven met QR codes

Volgens onderzoek van BleepingComputer ontvangen gebruikers brieven die sterk lijken op officiële communicatie van Ledger en Trezor. De documenten bevatten logo’s, huisstijl en zelfs verwijzingen naar security en compliance teams.

In de brieven staat dat gebruikers verplicht een zogenoemde Authentication Check of Transaction Check moeten uitvoeren om toegang tot hun wallet te behouden. De ontvangers krijgen een deadline, zoals 15 februari 2026, en worden aangespoord om een QR code te scannen.

Die QR code leidt naar phishing domeinen zoals trezor.authentication check.io of ledger.setuptransactioncheck.com. Op het moment van schrijven is de Ledger site offline, terwijl de Trezor variant nog actief is maar als phishing wordt gemarkeerd.

Seed phrase invoeren betekent directe diefstal

Na het scannen van de QR code belanden slachtoffers op een website die lijkt op de officiële installatiepagina van Trezor of Ledger. Daar wordt gewaarschuwd dat het niet uitvoeren van de controle kan leiden tot beperkte functionaliteit of blokkering van transacties.

De laatste stap in het proces vraagt gebruikers om hun 12, 20 of 24 woorden tellende recovery phrase in te voeren. Zodra deze gegevens worden ingevoerd, sturen de aanvallers de seed phrase via een backend API door naar hun eigen servers. Daarmee kunnen zij de wallet importeren en de volledige inhoud leegmaken.

Wie de recovery phrase bezit, heeft volledige controle over de bijbehorende crypto. Er is geen extra beveiligingslaag die dit nog kan tegenhouden. Lees ook meer over crypto scams en hoe je jezelf ertegen beschermt om dit soort aanvallen te herkennen.

Data lekken mogelijk oorzaak

Het is niet duidelijk hoe de doelwitten zijn geselecteerd, maar zowel Ledger als Trezor hebben de afgelopen jaren te maken gehad met datalekken waarbij klantgegevens zijn buitgemaakt. Dat kan verklaren hoe criminelen beschikken over fysieke adressen van wallet bezitters.

Hardware wallet fabrikanten vragen gebruikers nooit om hun recovery phrase online, via e-mail of via een QR code te delen. Een seed phrase mag uitsluitend rechtstreeks op het hardware apparaat zelf worden ingevoerd bij herstel van een wallet. Meer weten over veilige opslag? Bekijk dan ook welke crypto wallets er zijn en hoe ze werken.

De boodschap is helder: wie een brief ontvangt met het verzoek om een verificatie uit te voeren via een QR code, moet deze direct als fraude beschouwen en geen persoonlijke gegevens delen.