【提防假冒】Trezor假數據洩露電郵 竊加密貨幣錢包資料
投資虛擬貨幣可選擇使用冷錢包(Cold Wallet)或熱錢包(Hot Wallet)保管資產,而屬於冷錢包的硬體錢包(Hardware Wallet)由於是離線儲存裝置,相對其他線上錢包安全性較高,但不代表網絡罪犯不會以此作目標。有犯罪分子發送 Trezor 硬件錢包遭數據洩露的假消息,以竊取受害人加密貨幣錢包和儲存在內的資產。
Trezor 是一個硬件加密貨幣錢包,讓用家離線儲存加密資產,當設置新的 Trezor 錢包時,將顯示一個 12 到 24 字的 recovery seed,讓用家在設備被盜或丟失時,能恢復他們的錢包。但由於知道 recovery seed 的人就能存取錢包及存放在內的加密貨幣,因此將 recovery seed 需妥善保管。而今次事件犯罪分子就是瞄準 Trezor 用戶的 recovery seed,以假的數據洩露電郵,要求收件者下載虛假的 Trezor Suite 軟件。
Trezor 在 Twitter 證實,這些電子郵件透過他們在 MailChimp 託管的一個通訊服務發送的網絡釣魚攻擊。Trezor 其後表示,MailChimp 證實他們的服務,受到針對加密貨幣公司的「內部人士(insider)」的破壞。BleepingComputer 曾聯繫 MailChimp 以了解更多資訊,但目前未收到回覆。
該封網絡釣魚攻擊電子郵件提到,「Trezor 遭遇涉及 106,856 名客戶的數據的安全事故,並指出受害人的電子郵件地址所關聯的錢包 受事件影響。該封虛假電郵聲稱,該公司不知道洩露的程度,所有用戶應下載最新的「Trezor Suite」並在其硬體錢包上設置新的 PIN。該電郵包含一個「下載最新版本」按鈕,並將收件人導向至網絡釣魚網站,該網頁顯示為 suite.trezor.com。但該網站是一個使用 Punycode 字符的域名,讓攻擊者使用 Cyrillic 字母冒充 trezor.com 網域,其實際域名為 suite.xn--trzor-o51b[.]com,而 Trezor 的網站是 trezor.io。
由於 Trezor Suite 屬 open source,攻擊者下載 source code 後創造虛假應用程式,讓該程式看起來與原本的應用程式相同,有趣的是這個偽造的程式,在開啟時其屏幕頂部還包含了 Trezor 提醒防範網絡釣魚攻擊的警告。一旦 Trezor 用戶將他們的設備連接到偽造的 Trezor Suite 應用程式,它就會提示他們輸入 12 到 24 個單詞的 recovery seed,並會被發送至攻擊者,意味著他們可使用受害者的 recovery seed 竊取其加密貨幣資產。
Trezor 的用戶應切記勿在任何應用程式或網站中,輸入自己的 recovery seed,並只能在嘗試恢復的 Trezor 設備時輸入 recovery seed。由於創建冒充合法網站的相似網域名很容易,因此在處理涉及加密貨幣和金融資產時,務必直接在瀏覽器中輸入網址,而不是依賴電子郵件中的連結。此外,Trezor 的官方網站是 trezor.io,因此其他網址如 trezor.com,與該加密硬件錢包公司無關。最後,用戶應忽略任何聲稱來自 Trezor 的提到最近有數據洩露電子的郵件,如果擔心有事故,應直接聯繫 Trezor 以獲取更多信息,而不要點擊這些電郵中的連結。
