Kampanye Phishing yang Menargetkan Pengguna Ledger dan Trezor Kini Beredar, Dengan Surat Palsu dan Kode QR Tiruan

Sebuah kampanye phishing yang menargetkan pengguna Ledger dan Trezor beredar per Mei 2026, menggunakan surat fisik palsu dengan branding yang terlihat otentik, stempel holografis, dan tanda tangan eksekutif palsu. Surat-surat tersebut meminta penerima memindai kode QR untuk “Authentication Check” atau “Transaction Check” yang bersifat wajib sebelum tenggat waktu tertentu, dengan klaim bahwa fungsi dompet akan hilang jika tidak dilakukan. Kode QR tersebut mengarahkan ke domain palsu (misalnya trezor.authentication-check.io, ledger.setuptransactioncheck.com) dan meminta frasa pemulihan 24-, 20-, atau 12 kata milik penerima; jika dimasukkan, penyerang dapat menguras semua aset dompet. Kampanye ini menggunakan nama dan alamat penerima yang dipersonalisasi, bersumber dari kebocoran data sebelumnya terkait Ledger dan Trezor, sehingga efektivitasnya meningkat lewat rekayasa sosial.

Dompet Anda tidak dikompromikan kecuali Anda memindai kode QR atau memasukkan frasa pemulihan Anda. Komunikasi resmi Ledger dan Trezor hanya terjadi melalui perangkat itu sendiri (Ledger Live, Trezor Suite) atau melalui URL resmi (ledger.com, trezor.io). Laporkan domain phishing tersebut melalui ledger.com/security/report-an-issue atau trezor.io/learn/a/report-phishing-attack. Jangan pernah membagikan frasa pemulihan Anda kepada siapa pun dalam keadaan apa pun.