Аналитики сообщили о кампаниях, которые сочетают почтовые письма с QR‑кодами, перенаправляющими пользователей аппаратных кошельков на фишинговые страницы, похищающие 24‑словные seed‑фразы. Исследователи предупреждают, что эти недорогие офлайн‑в‑онлайн воронки стали эффективными векторами крупных краж криптовалют; часть активов была возвращена, но многие потери остаются значительными.

Исследователи в области безопасности задокументировали новую, высокодоходную тактику, которая начинается с реалистично выглядящих бумажных писем с инструкциями для получателей просканировать QR-коды якобы для «auth checks» или уведомлений от поставщиков; QR-коды ведут на фишинговые сайты, спроектированные для перехвата 24-словных seed-фраз аппаратных кошельков и других конфиденциальных данных. Аналитики описали воронку physical-mail → QR → seed-phrase как особенно опасную, поскольку почтовая доставка придаёт достоверности, а QR-рабочий процесс преодолевает подозрения, возникающие в браузере; жертвы, которые сканируют код, попадают на убедительные страницы, побуждающие пользователей аппаратных кошельков раскрыть фразы восстановления под предлогом безопасности или проверки. Правоохранительные органы прослеживали и с помощью судебной экспертизы вернули часть активов, но следователи предупреждают, что такие схемы дешевы в исполнении и очень прибыльны для организованных мошеннических сетей, которые переиспользуют скрипты, клонированные страницы поставщиков и шаблоны социальной инженерии. В отчётах подчёркивается необходимость обучения поставщиков, проверённых внеполосных каналов связи и инструкций для потребителей никогда не вводить seed-фразы на веб-сайтах и не следовать незапрошенным QR-подсказкам — совет, который, по мнению исследователей, нужно усиленно распространять, чтобы остановить растущие потери.