今日早些时候,Trezor 警告用户其客服热线遭遇钓鱼诈骗。一个 HTML 漏洞使得不法分子能够篡改 Trezor 的支持邮件,插入虚假的警告和链接至被攻陷的钱包。
目前尚不清楚是否有人真的上当受骗,但这或许是个小小的安慰。此次攻击可能利用了之前数据泄露中的信息,使得追踪罪犯变得困难。
骗子盯上硬件钱包用户
Trezor 作为领先的硬件钱包品牌,近年来多次成为黑客攻击、漏洞利用和数据泄露的目标。当前加密行业正面临一波攻击浪潮,Trezor 再次面临威胁。
今日早些时候,Trezor 警告其客户可能会收到伪装成支持邮件的钓鱼诈骗:
针对 Trezor 客户的钓鱼攻击相当巧妙。公司在其沟通中并未透露太多细节,仅声称“没有邮件泄露”,并表示情况已得到控制。
然而,网络情报监控机构昨日发现了潜在威胁,Trezor 将此视为罪魁祸首并进行了处理。
黑客在暗网上宣称 Trezor 的安全性遭到破坏,并以 10,000 美元的价格出售技术细节。此次漏洞利用了 HTML 字符串来篡改 Trezor 支持台发送的邮件。
不法分子可以通过该邮件请求“协助”,并填写潜在受害者的联系信息而非自己的。
请求中包含的 HTML 代码会修改 Trezor 的自动回复邮件,加入钓鱼尝试。修改后的邮件看似来自合法来源,发送给用户。
从用户的角度来看,Trezor 的帮助台会意外地发送一封电子邮件。邮件正文会讨论一个虚假的“支持请求”,而主题则包含钓鱼企图。
这种典型的 Web2 诈骗手段可能会诱使硬件钱包用户损失所有资产。
去年,Trezor 警告其客户,称 66,000 名联系过其支持热线的用户可能已被泄露。换句话说,这些人的联系信息可能在一些不法网站上被出售。
黑客需要购买 Trezor 用户数据和 HTML 代码来利用这些支持邮件,这可能导致大规模的钓鱼攻击。
换句话说,目前没有明显的线索指向这次钓鱼攻击的实施者,因为他们并未直接入侵 Trezor。其他黑客窃取了用户数据并发现了 HTML 漏洞,这些都在出售中。
希望调查人员能够追踪这些虚假的支持请求,但目前尚不清楚这是否可行。
在过去几个月中,低技术含量的社会工程诈骗已成功渗透加密货币安全。Trezor 的硬件钱包非常安全,但钓鱼攻击可能诱使用户绕过保护措施。
在这种环境下,每个人都需要保持警惕,以防止欺诈行为。
