Pengguna perangkat dompet hardware seperti Ledger dan Trezor harus mewaspadai serangan phishing yang kini menggunakan surat fisik sebagai media penipuan. Penipu mengirimkan surat palsu yang menyamar sebagai komunikasi resmi dari perusahaan, dengan tujuan mendapatkan 24 kata kunci pemulihan (seed phrase) dari korban.
Surat-surat ini berisi imbauan mendesak, misalnya mengatasnamakan “Authentication Check” atau “Transaction Check” wajib agar dompet tetap berfungsi. Dalam surat tersebut, penerima diarahkan untuk memindai kode QR yang membawa mereka ke situs phishing yang sangat mirip dengan domain resmi Ledger dan Trezor. Setelah memasukkan seed phrase, penyerang bisa mengakses dan menguras aset kripto korban.
Modus Operandi Penipuan Phishing Surat Fisik
- Surat menggunakan branding dan kop surat resmi serta bahasa yang terkesan mendesak.
- Terdapat batas waktu palsu agar korban cepat bertindak tanpa mengecek ulang.
- Kode QR dalam surat mengarah ke situs palsu dengan alamat yang menyerupai domain asli, seperti “trezor.authentication-check.io”.
- Situs tersebut meminta pengguna memasukkan seed phrase, yang sebenarnya harus dirahasiakan.
- Penipu mendapatkan kendali penuh atas dompet hardware dan aset digital korban.
Surat-surat ini diduga berasal dari Amerika Serikat dan menyasar pengguna yang datanya bocor akibat pelanggaran keamanan sebelumnya. Ledger, misalnya, pernah mengalami kebocoran data besar pada 2020 yang memuat informasi pribadi lebih dari 270.000 pelanggan, menjadikan penggunanya target empuk untuk serangan lanjutan.
Ancaman Berlapis dari Sejarah Insiden
Ledger dan Trezor telah berulang kali menjadi sasaran serangan siber:
- Kebocoran data 2020 yang melibatkan email, nomor telepon, dan alamat fisik pelanggan.
- Penipuan dengan perangkat Ledger Nano X palsu yang sudah disusupi malware serta surat palsu dari “CEO” tahun 2021.
- Serangan rantai pasokan pada 2023 yang membobol software Ledger Connect Kit, menyebabkan kerugian lebih dari $600.000 melalui eksploitasi aplikasi terdesentralisasi Ethereum.
Sejarah ini memperkuat risiko yang dihadapi pengguna ketika data pribadi dapat dimanfaatkan oleh penjahat siber untuk merancang serangan phishing yang lebih canggih dan personal.
Strategi Pencegahan yang Harus Diterapkan Pengguna
- Selalu verifikasi semua komunikasi melalui situs resmi Ledger dan Trezor, termasuk memeriksa daftar phishing aktif yang disediakan Ledger.
- Jangan pernah membagikan seed phrase secara digital atau melalui komunikasi apapun. Perusahaan dompet hardware tidak pernah meminta phrase ini.
- Hindari memindai kode QR dalam surat yang tidak diverifikasi dan akses situs resmi secara manual melalui browser.
- Simpan seed phrase secara offline dalam lokasi yang aman dan terpisah dari perangkat digital.
- Aktifkan tambahan keamanan seperti autentikasi dua faktor (2FA) jika tersedia.
- Pantau aktivitas dompet untuk deteksi dini tindakan mencurigakan.
- Laporkan surat dan aktivitas mencurigakan kepada pihak berwajib atau layanan pelanggan resmi.
- Pertimbangkan penggunaan pengaturan air-gapped (terputus dari internet) dan dompet multi-signature untuk meminimalkan risiko pencurian.
Komunitas blockchain dan kripto di platform seperti Reddit dan X aktif membagikan salinan surat palsu ini agar pengguna lain tidak menjadi korban. Informasi edukatif ini penting untuk meningkatkan kewaspadaan bersama.
Pemahaman dan Kewaspadaan Pengguna Dompet Hardware
Dompet hardware tetap menjadi aset berharga target utama kejahatan siber karena menyimpan sejumlah besar kripto secara offline. Namun, penggunaan metode lama seperti surat fisik menunjukkan bagaimana para pelaku terus mengadaptasi teknik penipuan mereka agar lebih meyakinkan dan sulit dideteksi.
Pengguna disarankan untuk tidak lengah dan selalu menegakkan protokol keamanan digital dan fisik secara bersamaan. Kesadaran kritis atas bentuk komunikasi yang tidak biasa dapat mencegah hilangnya aset penting. Keamanan cryptocurrency sangat bergantung pada pemahaman dan kebijakan proteksi yang ketat dari setiap pemilik wallet.
