michele ficara porta a porta bruno vespa sky tg 24

Direttore Editoriale  della testata Assodigitale® è Michele Ficara Manganelli. Assodigitale è una testata editoriale storica del settore Tecnologia & Finanza pubblicata esclusivamente online dal 2004 con oltre 20 anni di vita.

#Assodigitale. – Assodigitale News Magazine Tech & Fintech pubblica (senza periodicità) notizie, guide al consumo ed approfondimenti sul mondo finanziario + tecnologico a 360 gradi con particolare attenzione agli ambiti Startup, AI, Blockchain, Metaverse, Crypto, Svapo e Lifestyle.
Assodigitale® è un marchio registrato worldwide. © COPYRIGHT 2024

Criminali sfruttano finte lettere Trezor e Ledger per svuotare criptowallet

Criminali sfruttano finte lettere Trezor e Ledger per svuotare criptowallet

Lettere cartacee contraffatte contro utenti Trezor e Ledger

Una nuova campagna di phishing prende di mira i possessori di wallet hardware Trezor e Ledger sfruttando la posta tradizionale. Lettere stampate su finta carta intestata simulano comunicazioni ufficiali dei reparti sicurezza e compliance, invitando a scansire un QR code e a inserire la recovery phrase su siti controllati dai truffatori. Il modello di attacco è sofisticato, punta sulla fiducia verso la corrispondenza fisica e mira a ottenere il pieno controllo dei portafogli in criptovalute, aggirando molte difese digitali abituali.

Questo schema dimostra un’evoluzione del social engineering nel settore crypto e richiede un aggiornamento urgente delle pratiche di sicurezza da parte degli utenti.

Come operano i truffatori con QR code e domini falsi

Le lettere includono un QR code che rimanda a pagine web costruite per imitare i portali ufficiali di Trezor e Ledger. I domini, come trezor.authentication-check.io o ledger.setuptransactioncheck.com, sfruttano nomi plausibili per ingannare chi non controlla con attenzione l’URL.

La procedura sul sito guida l’utente in un finto set-up o controllo di sicurezza, al termine del quale viene chiesta la recovery phrase in 12, 20 o 24 parole. Una volta inserita, la frase viene inviata a server sotto controllo degli attaccanti, che possono così importare il wallet su un proprio dispositivo e svuotare rapidamente i fondi verso indirizzi non recuperabili.

La leva psicologica di urgenza e obblighi di sicurezza

Nel caso di Trezor, la lettera parla di un presunto “Authentication Check” che diventerà obbligatorio, con scadenza al 15 febbraio 2026 e minacce di perdita di funzionalità su Trezor Suite in caso di mancato adeguamento.

Per Ledger, la variante introduce una funzione “Transaction Check” da attivare entro ottobre 2025 per evitare blocchi, errori di firma e interruzioni del servizio. In entrambe le versioni, scadenze precise e riferimenti a possibili malfunzionamenti sono calibrati per creare pressione psicologica e spingere a seguire le istruzioni senza verifica preventiva delle fonti.

Dati esposti e precedenti attacchi postali nel mondo crypto

QUI RISPARMI: CLICCA ORA! 

La selezione mirata dei destinatari fa pensare all’uso di database provenienti da precedenti violazioni dei dati che hanno coinvolto Trezor e Ledger. Nel tempo, vari incidenti hanno esposto nomi, email e in alcuni casi indirizzi fisici dei clienti, fornendo materiale ideale per campagne di phishing altamente personalizzate. L’utilizzo della posta fisica, ancora percepita come canale “più affidabile”, amplifica l’efficacia dell’inganno e complica il riconoscimento immediato della truffa.

Per gli utenti, questo scenario conferma che ogni dato personale compromesso può essere riutilizzato anni dopo in forme di attacco sempre nuove e meno prevedibili.

Dalle email ai dispositivi manomessi: evoluzione del rischio

Gli attacchi via email, SMS e social restano i più frequenti, ma nel settore crypto esistono precedenti specifici legati alla posta tradizionale. Nel 2021 furono segnalati dispositivi Ledger manomessi, spediti per sostituire finti wallet difettosi e progettati per catturare la seed phrase in fase di configurazione.

Nel 2025 sono emerse ulteriori campagne postali mirate a utenti Ledger, con lettere simili a quelle odierne. Questi casi mostrano che gli attaccanti sono disposti a sostenere costi logistici elevati pur di colpire target ad alto valore, superando la difesa psicologica che molti utenti hanno ormai sviluppato verso il phishing digitale classico.

Perché le campagne via posta sono particolarmente insidiose

Le comunicazioni fisiche non finiscono nei filtri antispam e vengono percepite come più ufficiali, specie se accompagnate da loghi, carta intestata e linguaggio pseudo-legale. La minor frequenza di truffe via posta riduce inoltre il livello di allerta degli utenti, abituati a diffidare soprattutto di email e messaggi istantanei.

In questo contesto, chi possiede wallet hardware deve considerare la posta tradizionale come potenziale vettore di phishing al pari dei canali digitali, verificando sempre qualsiasi richiesta di azione passando dai siti ufficiali e dai canali social verificati dei produttori, senza utilizzare QR o link stampati sulle lettere.

Seed phrase: regole imprescindibili di sicurezza

La seed phrase, o recovery phrase, rappresenta in forma testuale le chiavi private che danno accesso completo al wallet. Chiunque ne entri in possesso può ripristinare il portafoglio su un altro dispositivo e movimentare liberamente i fondi. Per questo produttori come Trezor e Ledger ribadiscono da anni che non chiederanno mai la recovery phrase tramite siti web, app, email, moduli, telefono o posta.

Ogni richiesta di inserire o fotografare la seed phrase, soprattutto in contesti di “verifica” o “controllo di sicurezza”, deve essere trattata come un segnale di allarme immediato.

Dove e quando è lecito usare la recovery phrase

La regola operativa è netta: la seed phrase va inserita solo sul dispositivo hardware o, se strettamente necessario, in un ambiente offline controllato, esclusivamente per il ripristino del wallet. Non deve mai essere digitata in browser, app di terze parti o form online raggiunti da link o QR code non verificati.

In caso di dubbi, è preferibile interrompere qualsiasi procedura, disconnettere il dispositivo e consultare la documentazione ufficiale di Trezor o Ledger o il supporto clienti, senza condividere screenshot o foto della propria frase di recupero.

Come riconoscere comunicazioni fasulle su “controlli” di sicurezza

Le lettere che menzionano “verifica del backup”, “autenticazione obbligatoria”, “transaction check” o simili e che richiedono la recovery phrase devono essere considerate sospette per impostazione predefinita. Un produttore legittimo non subordina mai il funzionamento del wallet alla condivisione della seed phrase su un sito esterno.

La verifica va effettuata navigando manualmente verso i domini ufficiali o attraverso app già installate, senza usare QR o link ricevuti. Qualsiasi discrepanza di URL, errori linguistici o richieste anomale di dati sensibili sono indizi da trattare come prova di tentativo di phishing.

FAQ

Chi è il bersaglio di queste lettere di phishing

I destinatari sono utenti di wallet hardware Trezor e Ledger, selezionati presumibilmente da database di clienti esposti in precedenti violazioni dei dati, con focus su profili a elevata probabilità di possedere fondi significativi.

Perché i truffatori usano la posta tradizionale

La posta fisica aggira filtri antispam, gode di maggiore credibilità percepita e sorprende l’utente, meno allenato a riconoscere il phishing su carta rispetto a email e messaggi, aumentando la probabilità di successo dell’attacco.

Come riconoscere una lettera falsa Trezor o Ledger

Segnali tipici sono urgenze artificiali, scadenze ravvicinate, richieste di scansione di QR code e soprattutto l’invito a inserire la recovery phrase su siti terzi; è essenziale confrontare l’URL con i domini ufficiali dei produttori.

Cosa fare se ho già inserito la seed phrase su un sito sospetto

Bisogna considerare compromesso il wallet, spostare immediatamente tutti i fondi su un nuovo portafoglio con seed phrase diversa e, se possibile, monitorare e segnalare gli indirizzi coinvolti alla community di sicurezza.

Posso fidarmi dei QR code ricevuti per posta

Nel contesto dei wallet hardware è prudente non fidarsi di alcun QR code non proveniente da canali ufficiali verificati; l’accesso ai siti dei produttori dovrebbe sempre avvenire tramite digitazione manuale dell’indirizzo.

Le aziende Trezor e Ledger chiedono mai la recovery phrase

Trezor e Ledger dichiarano esplicitamente che non chiederanno mai agli utenti di condividere la recovery phrase tramite web, email, telefono o posta; qualsiasi richiesta in tal senso indica un tentativo di truffa.

Come proteggere indirizzo fisico e dati personali

È consigliabile limitare la diffusione dell’indirizzo postale, usare email dedicate agli acquisti crypto e monitorare eventuali comunicazioni sospette, ricordando che dati esposti in passato possono riemergere in nuove campagne.

Qual è la fonte delle informazioni su questa truffa

Le informazioni qui analizzate derivano da un approfondimento pubblicato da HWUpgrade, che ha documentato la nuova campagna di phishing postale contro utenti Trezor e Ledger con esempi di lettere e domini falsi utilizzati.

Michele Ficara Manganelli ✿∴♛🌿🇨🇭 Avatar

Michele Ficara Manganelli ✿∴♛🌿🇨🇭

Direttore Editoriale Assodigitale.it Phd, MBA, CPA

Storico esperto di Digital Journalism e creatore di Immediapress la prima Digital Forwarding Agency italiana poi ceduta al Gruppo ADNkronos, evangelista di Internet dai tempi di Mozilla e poi antesignano (ora pentito) dei social media in italia, Bitcoiner Evangelist, portatore sano di Ethereum e Miner di crypto da tempi non sospetti. Sono a dir poco un entusiasta della vita, e già questo non è poco. Intimamente illuminato dalla Cultura Life-Hacking, nonchè per sempre ed indissolubilmente Geek, giocosamente Runner e olisticamente golfista. #senzatimore è da decenni il mio hashtag e significa il coraggio di affrontare l'ignoto. Senza Timore. Appunto

Areas of Expertise: Digital Marketing, SEO, Content Strategy, Crypto, Blockchain, Fintech, Finance, Web3, Metaverse, Digital Content, Journalism, Branded Content, Digital Transformation, AI Strategy, Digital Publishing, DeFi, Tokenomics, Growth Hacking, Online Reputation Management, Emerging Tech Trends, Business Development, Media Relations, Editorial Management.
michele@ficara.org
LinkedIn Instagram YouTube Telegram
Fact Checked & Editorial Guidelines

Our Fact Checking Process

We prioritize accuracy and integrity in our content. Here's how we maintain high standards:

  1. Expert Review: All articles are reviewed by subject matter experts.
  2. Source Validation: Information is backed by credible, up-to-date sources.
  3. Transparency: We clearly cite references and disclose potential conflicts.
Reviewed by: Subject Matter Experts

Our Review Board

Our content is carefully reviewed by experienced professionals to ensure accuracy and relevance.

  • Qualified Experts: Each article is assessed by specialists with field-specific knowledge.
  • Up-to-date Insights: We incorporate the latest research, trends, and standards.
  • Commitment to Quality: Reviewers ensure clarity, correctness, and completeness.

Look for the expert-reviewed label to read content you can trust.

DIRETTORE EDITORIALE

PUBBLICITA’ – COMUNICATI STAMPA – PROVE PRODOTTI

Per acquistare pubblicità CLICCA QUI

Per inviarci comunicati stampa e per proporci prodotti da testare prodotti CLICCA QUI

#ASSODIGITALE.
Impostazioni relative alla privacy e ai cookie Piattaforma gestita da Google. Conforme al TCF di IAB. ID CMP: 300

PUBBLICITA’ COMUNICATI STAMPA

Per acquistare pubblicità potete richiedere una offerta personalizzata scrivendo al reparto pubblicitario.

Per pubblicare un comunicato stampa potete richiedere una offerta commerciale scrivendo alla redazione.

Per inviarci prodotti per una recensione giornalistica potete scrivere QUI

Per informazioni & contatti generali potete scrivere alla segreteria.

Tutti i contenuti pubblicati all’interno del sito #ASSODIGITALE. “Copyright 2024” non sono duplicabili e/o riproducibili in nessuna forma, ma possono essere citati inserendo un link diretto e previa comunicazione via mail.

AFFILIATION + AI IMAGE & TEXT

I contenuti pubblicati su Assodigitale.it possono contenere link di affiliazione al Programma Amazon EU.
In qualità di affiliato Amazon, il sito percepisce una commissione sugli acquisti idonei effettuati tramite i link presenti nelle pagine, senza alcun costo aggiuntivo per l’utente.
Alcune immagini e testi presenti su questo sito web sono generate tramite sistemi di intelligenza artificiale (IA) e hanno finalità esclusivamente illustrative.
Tali immagini non rappresentano persone reali, né vanno intese come fotografie autentiche dei soggetti.
Per chiarimenti, segnalazioni o istanze formali è possibile contattare la redazione.

FONTE UFFICIALE GOOGLE NEWS

#ASSODIGITALE. da oltre 20 anni rappresenta una affidabile fonte giornalistica accreditata e certificata da Google News per la qualità dei suoi contenuti.

#ASSODIGITALE. è una testata editoriale storica che dal 2004 ha la missione di raccontare come la tecnologia può essere utile per migliorare la vita quotidiana approfondendo le tematiche relative a: TECH & FINTECH + AI + CRYPTO + BLOCKCHAIN + METAVERSE & LIFESTYLE + IOT + AUTOMOTIVE + EV + SMART CITIES + GAMING + STARTUP.

 

Indice dei Contenuti:

INDICE CONTENUTI
Powered by atecplugins.com