Trezor近日警告用户注意一场利用其自动支持系统进行的钓鱼活动。这些攻击者通过Trezor的官方平台发送欺诈性邮件。[详细]。
该公司的支持网站允许任何人使用任意邮箱地址和主题行开启工单,系统会自动回复并使用提交的工单标题作为邮件主题。攻击者利用这一功能,通过提交包含紧急钓鱼信息的工单标题,例如“[URGENT]: vault.trezor.guide – Create a Trezor Vault now in order to secure assets who may potentially be at risk”,使回复邮件似乎来自合法的[email protected]地址,但实际内容中包含链接至钓鱼网站。
用户若在浏览器中访问这些域名,将被引导至一个要求输入钱包种子的钓鱼页面。Trezor是一种硬件钱包,用于安全存储多种形式的加密货币。通过所谓的“种子短语”进行保护,这是一组由24个随机词组成的安全密码,是用户资产的主密钥。任何人若掌握了用户的种子短语,就可以在其他设备上恢复钱包并完全访问其中的资产。
Trezor在一份声明中提醒所有用户,绝不可与他人分享钱包种子。公司也表示正致力于实施防御措施,以防止未来类似的滥用。