Ho appena ricevuto un SMS che mi esorta a visitare il sito ledger.legal per aggiornare il firmware del dispositivo Ledger, pena la perdita delle monete conservate. Sito e messaggio sono ben confezionati, ma si tratta di una truffa finalizzata a rubare criptovalute

Allarme SMS: sito ledger.legal è truffa! - Screenshot_2020-10-28-23-03-22-632_com.google.android.apps.messaging

Il testo completo dell'SMS recita:

Dear <nome> <cognome>

Please visit ledger.legal website and update Ledger firmware as the previous one has a bug with the risk of losing assets

Non appena aperto il sito, viene immediatamente effettuato un redirect al sito apparentemente legittimo "ledger.com". Se si guarda con attenzione il dominio, però, si nota che è presente un piccolo segno (una specie di accento) sulla lettera e, situazione che rende questo sito completamente differente da quello legittimo

Allarme SMS: sito ledger.legal è truffa!

La pagina truffaldina presenta l'immagine dei due wallet hardware prodotti dall'azienda

Allarme SMS: sito ledger.legal è truffa!

Selezionandone uno, si accede ad una pagina che esorta a collegare e sbloccare il dispositivo. In realtà, la rilevazione è temporizzata: pur senza collegare nulla, dopo pochi secondi si accede alla pagina successiva

Allarme SMS: sito ledger.legal è truffa!

A questo punto, i truffatori mostrano un minaccioso messaggio di avviso (assolutamente falso):

Ledger data damage error EXz0DXjd9SZ

Don't reload or close your browser to avoid losing your funds. Your device's memory has been partially damaged. Please enter your recovery phrase to recover your wallet.

Allarme SMS: sito ledger.legal è truffa!

Lo scopo di questa pagina è convincere la vittima ad inserire la frase di ripristino associata al dispositivo, ovvero quella che permette di "fotocopiare" le chiavi private memorizzate sul dispositivo in un altro (è uno strumento lecito, pensato per il backup). Una volta entrato in possesso di tale informazione, il truffatore potrebbe dunque sottrarre indisturbato tutte le monete della vittima. Per maggiori informazioni:

» Leggi anche: Ledger e Trezor sono sicuri? Posso fidarmi dei wallet hardware per Bitcoin e criptovalute? (video)

La cosa migliore da fare è chiudere immediatamente la pagina e segnalare il sito truffaldino ai siti specializzati. Ne abbiamo parlato in questo approfondimento:

» Leggi: Come segnalare un sito di Phishing a Google, netcraft e Phishtank in modo che sia bloccato