Ledger-gebruikers krijgen nepbrieven thuis om seed phrases te stelen

Ledger-gebruikers worden opnieuw gewaarschuwd voor nepbrieven die thuis op de mat vallen. De brieven lijken op officiële veiligheidsmeldingen, maar leiden via een QR-code naar een phishingpagina waar criminelen de recovery phrase proberen te stelen.

Wie zijn 24 woorden invult, geeft aanvallers feitelijk toegang tot de wallet. Ledger benadrukt dat er nooit een reden is om een recovery phrase op een website of computer in te voeren.

De aanval draait om physical mail phishing: phishing via gewone post. In plaats van een verdachte e-mail of sms sturen oplichters een professioneel ogende brief naar het huisadres van het slachtoffer.

Volgens Ledger verschillen de brieven in vorm en onderwerp. De kern is steeds hetzelfde: gebruikers moeten een QR-code scannen of een website bezoeken en daarna instructies volgen.

Uiteindelijk worden zij gevraagd hun 24 woorden in te voeren. Ledger schrijft daarover: “Never enter your 24 words – there is no good reason to type your recovery phrase into a computer.”

Dat is precies waar de aanval om draait. Een recovery phrase is de sleutel tot een wallet. Wie die woorden heeft, kan de wallet herstellen op een ander apparaat en tegoeden verplaatsen.

Ledger stelt dat gebruikers een zogenaamd Ledger-bericht via sms, WhatsApp, Telegram, telefoon of post meteen als phishing moeten behandelen. Het bedrijf zegt alleen via officiële kanalen te communiceren en nooit om de 24 woorden te vragen.

De fysieke vorm maakt de aanval verraderlijk. Veel cryptogebruikers herkennen inmiddels valse e-mails of verdachte links, maar een brief op het thuisadres kan betrouwbaarder aanvoelen.

Dat geldt zeker bij hardware wallets. Juist omdat deze apparaten worden gekocht voor extra veiligheid, kan een nepbrief over een “security check” of “verification process” geloofwaardig overkomen.

Voor Nederlandse gebruikers is de regel simpel: een brief van Ledger met een QR-code en een verzoek om je herstelzin in te voeren is oplichting. Ook als de brief dreigt met blokkade, verlies van toegang of een verplichte veiligheidsupdate.

De waarschuwing komt na een dataincident bij e-commercepartner Global-e in januari 2026. Volgens Ledger en Global-e ging het daarbij om order- en contactgegevens, niet om financiële gegevens, wachtwoorden of recovery phrases.

Toch kunnen juist zulke contactgegevens waardevol zijn voor criminelen. Een naam, adres en eerdere aankoop kunnen genoeg zijn om een phishingbrief persoonlijker en geloofwaardiger te maken.

The Register meldde op 6 januari 2026 dat Ledger-klanten werden gewaarschuwd voor phishing na het incident. Ledger zei daarbij dat het nooit fysieke items stuurt met de opdracht om QR-codes te scannen, websites te bezoeken of een recovery phrase te delen.

Hoe snel het mis kan gaan, blijkt uit een zaak in Connecticut. Volgens CT Insider verloor een inwoner van Weston 234.533 dollar nadat hij een nepbrief ontving die zogenaamd van Ledger kwam.

De brief verwees naar een “Transaction Check” en bevatte een QR-code. Na het invullen van de seed phrase werd de wallet volgens rechtbankstukken binnen zes minuten leeggehaald.

Wie zo’n brief ontvangt, moet de QR-code niet scannen en niets invullen. Controleer meldingen alleen via de officiële website of supportkanalen van Ledger.

Wie de recovery phrase al heeft ingevuld, moet ervan uitgaan dat de wallet niet meer veilig is. Verplaats tegoeden dan zo snel mogelijk naar een nieuwe wallet met een nieuwe recovery phrase en gebruik de oude seed phrase niet meer.

De les is hard, maar duidelijk: een hardware wallet beschermt niet tegen het zelf prijsgeven van de herstelzin. Zodra criminelen die 24 woorden hebben, is de wallet niet langer van jou alleen.