Nepbrief met QR-code kost Ledger-gebruiker in zes minuten $234.000

Wat vaak begint met een verdachte e-mail of sms, begon in deze zaak met een brief op de deurmat. In de Amerikaanse staat Connecticut is een inwoner volgens federale rechtbankstukken meer dan $234.000 aan crypto kwijtgeraakt nadat die een vervalste brief ontving die leek te komen van hardwarewalletmaker Ledger. Binnen enkele minuten nadat de seed phrase was ingevoerd, was de wallet leeg.

De zaak springt in het oog omdat de fraude niet via een klassiek digitaal kanaal verliep, maar via fysieke post. Juist dat vergrootte vermoedelijk de geloofwaardigheid van het bericht en daarmee ook de kans dat het slachtoffer op de instructies inging.

Volgens de rechtbankstukken ontving het slachtoffer in september 2025 een brief van zogenoemde “Ledger Security & Compliance”. Daarin stond dat een nieuwe, verplichte veiligheidscontrole nodig was voor het apparaat. Om problemen met de toegang tot Ledger Live te voorkomen, moest de ontvanger een QR-code scannen.

Volgens de federale aanklagers was die informatie onjuist en maakte zij deel uit van een frauduleuze constructie. De brief was erop gericht om vertrouwen te wekken en tegelijk tijdsdruk te creëren, twee klassieke elementen van phishing.

Uit berichtgeving van CT Insider blijkt bovendien dat de brief was opgesteld alsof die afkomstig was van een hoge functionaris van Ledger. Dat gaf de boodschap extra gezag. Precies die combinatie van legitimiteit en urgentie maakt deze zaak opvallend: de aanval voelde officieel, maar was volledig frauduleus.

Na het scannen van de QR-code kwam het slachtoffer volgens de klacht terecht op een frauduleuze website die leek op een echt Ledger-portaal. Daar werd gevraagd om de seed phrase, de reeks herstelwoorden waarmee een wallet opnieuw kan worden geopend.

Dat is het beslissende moment in dit soort zaken. Wie die woorden invoert of deelt, geeft in feite de volledige controle over de wallet uit handen. In dit geval werden volgens de stukken vervolgens onder meer bitcoin, ethereum, solana en chainlink uit de wallet weggehaald.

Volgens de rechtbankstukken gebeurde dat bijzonder snel: binnen zes minuten nadat de seed phrase was ingevoerd, waren de tegoeden verdwenen. Dat laat zien hoe weinig tijd er zit tussen misleiding en daadwerkelijke diefstal zodra een aanvaller eenmaal toegang heeft.

Ledger benadrukt op zijn supportpagina’s al langer dat het bedrijf nooit om de 24 woorden van een recovery phrase vraagt. Ook waarschuwt het gebruikers om geen links of codes te volgen uit verdachte communicatie, ook niet als die op het eerste gezicht legitiem lijkt.

Opvallend is dat Ledger dit soort campagnes inmiddels ook expliciet benoemt als physical mail phishing. Daarmee erkent het bedrijf dat phishing niet alleen via e-mail of sms loopt, maar ook via ouderwetse post.

Voor gebruikers is dat een belangrijk punt. Fysieke post voelt voor veel mensen nog altijd betrouwbaarder dan een digitaal bericht. Juist daardoor kan de drempel lager zijn om instructies op te volgen die men bij een e-mail misschien direct zou wantrouwen.

De zaak kreeg nu opnieuw aandacht omdat Amerikaanse opsporingsdiensten zeggen dat zij de geldstromen via meerdere wallets hebben gevolgd. Volgens het Amerikaanse Openbaar Ministerie wisten de FBI en de Connecticut State Police uiteindelijk ongeveer $600.000 aan Tether veilig te stellen dat aan het fraudedossier werd gekoppeld.

Op 31 maart 2026 sprak de rechtbank een verbeurdverklaring uit. Daarmee kan de overheid in veel gevallen beginnen met een traject om slachtoffers schadeloos te stellen, voor zover de in beslag genomen middelen daarvoor beschikbaar zijn.

Daar zit wel een belangrijke nuance in. De federale stukken spreken over crypto die aan de bredere frauderegeling was gekoppeld. Dat bedrag staat dus niet automatisch gelijk aan het exacte verlies van één specifiek slachtoffer, maar aan de tegoeden die onderzoekers in dit dossier hebben weten te traceren en veilig te stellen.

Deze zaak valt vooral op omdat zij laat zien hoe klassieke postfraude en moderne cryptoscams steeds vaker in elkaar overlopen. Waar gebruikers meestal worden gewaarschuwd voor valse e-mails, sms-berichten of nep-apps, kwam de aanval hier via een geprinte brief met QR-code.

Dat maakt de methode psychologisch sterker. Een brief op papier oogt voor veel mensen nog altijd officiëler dan een digitaal bericht. Maar de onderliggende fraude is uiteindelijk dezelfde: een slachtoffer wordt onder druk gezet om zelf de sleutels tot de wallet prijs te geven.

Daarmee blijft ook de belangrijkste les onveranderd. Wie de seed phrase deelt, verliest in de praktijk de controle over de wallet. Die woorden horen nergens online ingevuld te worden en hoeven ook nooit met Ledger of een andere walletaanbieder te worden gedeeld.