Trezor在网络钓鱼攻击利用联系表单后警告用户

2025 年 6 月 23 日，Trezor 发布了关于最近一次网络钓鱼攻击的公共安全警报。攻击者利用 Trezor 网站联系表发送虚假电子邮件。这些网络钓鱼电子邮件伪装成 Trezor 支持团队的合法回复。目标是欺骗用户分享敏感的钱包信息。Trezor 强调，它永远不会要求用户提供钱包备份。强烈建议用户将备份保持离线和私有状态，以避免风险。尽管问题很快就得到了控制，但该公司敦促对正在进行的加密网络钓鱼攻击保持警惕。

攻击者滥用自动回复系统而未破坏基础设施

Trezor 在其官方社交媒体渠道上提供了有关加密钓鱼攻击的详细信息。攻击者使用真实用户的电子邮件地址提交了虚假的支持请求。这使得 Trezor 支持的自动回复系统被欺骗，发送了看似真实的支持电子邮件的回复。尽管如此，Trezor 确认其电子邮件系统未以任何方式受到损害。联系表单基础设施保持安全，尽管容易受到这种类型的滥用。Trezor 表示，我们正在积极研究防止未来滥用的方法。用户被提醒永远不要在网站或表单中输入恢复种子。

用户绝不分享钱包备份，并使用官方 Trezor 支撑渠道

在 X ( 前身为 Twitter ) 上，一位名为 Emzy 的用户表示：“我也收到了那封邮件，”突显了此次攻击的影响范围。Trezor 公开回应用户：“绝不要与任何人分享你的钱包备份 ( 种子 )。”该公司表示，用户只应将他们的种子短语输入到他们的实体 Trezor 设备中。任何请求恢复种子的行为都是欺诈，表明这是一个骗局。Trezor 还敦促用户通过经过验证的渠道，如他们的聊天机器人 Hal，联系官方支撑。

警惕语音钓鱼和冒充，以及虚假社交资料

除了电子邮件钓鱼，Trezor 还警告了其他加密诈骗手段，包括语音钓鱼或“vishing”。诈骗者可能会假装是 Trezor 或其他钱包提供商给用户打电话。在这些电话中，攻击者通常会请求钱包备份或登录凭据。Trezor 指点用户如果接到此类可疑电话，应立即挂断。该公司明确表示：“如果有人打电话声称来自加密公司，假设这是一个诈骗。”在这种情况下泄露钱包备份将使诈骗者完全访问用户的资金。

攻击者的加密诈骗方法还包括虚假的社交媒体资料、紧急警告和恶意网站的链接。即使是看起来专业且写得很好的电子邮件也可能具有欺骗性。Trezor 提醒用户，钱包恢复需要直接在他们的设备屏幕上进行物理确认。用户只能按照其 Trezor 设备本身上显示的说明进行作。“永远不要分享你的 12 字、20 字或 24 字钱包备份，”警报强调。暴露这些词可能会给用户造成不可逆转的损失。

仔细验证电子邮件，并始终保护钱包备份

用户应对意外邮件持怀疑态度，并仔细检查发件人地址。他们应避免点击可疑或未知链接。注意语法错误是有帮助的，但攻击者现在可能会使用人工智能完美地模仿自然语言。Trezor 强调，官方支撑永远不会向用户请求私人信息。该公司总结指出，用户有责任保护他们的加密资产，并必须保持警惕。