Trezor 在钓鱼诈骗中利用联系表单漏洞发布安全警报

加密货币硬件钱包提供商Trezor已向其用户发出安全警告，警告恶意行为者使用新策略冒充该公司并钓鱼获取敏感信息。

在6月23日通过社交媒体平台X (前身为Twitter)的帖子中，Trezor警告用户，它已识别出一个安全漏洞，攻击者利用其联系表单发送看似合法的Trezor支持回复的诈骗邮件。

根据钱包提供商的说法，诈骗邮件看起来很真实，但实际上是恶意行为者针对毫无戒备的用户进行的网络钓鱼攻击，目的是获取敏感信息并危害他们的账户。

澄清情况后，Trezor确认其内部邮件系统没有被侵犯。相反，攻击者使用目标用户的电子邮件地址提交了支持请求。这触发了Trezor的自动化系统发送看似有效的支持回复，从而为钓鱼信息增加了一层可信度。

Trezor 强调该问题已得到控制，并表示正在继续调查，同时推出额外的安全措施以防止未来事件的发生。

然而，这不是Trezor第一次被攻击。早在一月份，该公司就报告了一起事件，攻击者访问了其新闻通讯订阅者的电子邮件数据库，并使用第三方服务冒充Trezor团队，向用户发送恶意电子邮件。

反复发生的事件引起了人们对Trezor安全级别的关注。最近，来自竞争对手硬件钱包制造商Ledger的安全部门Ledger Donjon的研究人员对Trezor Safe型号提出了担忧，警告称它们可能无法提供对复杂攻击的全面保护。

Trezor 现在敦促用户保持警惕，并遵循严格的安全措施以保护他们的资产。

“记住，绝不要分享你的钱包备份——它必须始终保持私密和离线。Trezor 永远不会要求你的钱包备份，”它警告道。