加密货币诈骗手法再次升级,近期多名包括 Trezor、Ledger 等硬件钱包用户通报收到伪装成官方通知的实体信件,信中要求扫描 QR 码进行强制验证,实则诱骗用户输入助记词,借此盗取资产。此类攻击并非首次出现,再次凸显个人信息外泄与社交工程诈骗的长期风险。
实体信件伪装官方通知,要求限期“身份验证”
网络安全团队 Dmitry Smilyanets 指出,多名用户收到署名来自 Trezor 或 Ledger 的纸本信件,内容声称需在特定期限内完成“身份验证检查 (Authentication Check)”或“交易检查 (Transaction Check)”,否则设备可能遭到限制。
据报道,信件外观制作精细,包含伪造签名、品牌标志及防伪贴纸,并附上验证 QR 码。部分案例中,信件甚至冒用了 Trezor 的执行长 Matěj Žák 的签名。
扫描 QR 码后导向假网站,诱导输入助记词
Dmitry Smilyanets 回报,信件中的 QR 码会将收件人导向外观仿造官方设定页面的恶意网站,要求输入钱包助记词以完成所谓的“安全验证”。一旦助记词被输入,资料便会通过后端 API 传送至攻击者手中,使其得以在其他设备导入钱包并转移资产。
Trezor、Ledger 官方一再强调,官方从未、也不会通过网站、电子邮件或实体信件要求用户提供助记词。助记词一旦外泄,就等同于将钱包控制权交出。
攻击源头:Ledger 过去个人信息外泄成为锁定名单
这种实体信件诈骗之所以能精准寄达,与过去数年的资料外泄事件有关。Ledger 曾于 2020 年因电商合作伙伴 Shopify 安全事件,导致数十万名客户姓名与实体地址曝光;2023 年 Ledger Connect Kit 也发生过供应链攻击。2024 年初,Trezor 也通报有 66,000 名用户联系资料不慎遭到外流。
就在上个月,Ledger 才刚因第三方支付服务商 Global-e 遭骇,导致用户姓名与联系方式外泄,虽官方坚称未涉及私钥与支付信息,但仍可能成为钓鱼攻击的材料。即便钱包装置本体安全无虞,用户个人信息一旦外泄,仍可能被反复利用。
(Ledger 第三方支付商 Global-e 爆个人信息外泄,官方回应“钱包本体安全无虞”)
诈骗手法演进:从电子邮件走向实体社交工程
观察近年来攻击趋势,钓鱼手法正从电子邮件、假冒客服信息,进一步延伸至伪造 App、甚至寄送假硬件装置与实体信件。实体邮寄能降低用户戒心,特别是在信件设计高度拟真情况下,更容易混淆视听。层出不穷的攻击更反映出加密产业在资料保护与第三方依赖上的风险。
Dmitry Smilyanets 提醒,对用户而言,最重要的防线仍是基本原则:“任何情况下都不要向任何人透露助记词。”在安全事件层出不穷的背景下,如何提升用户警觉与供应链安全,将持续成为产业面临的重要课题。
这篇文章 冷钱包当心!Trezor、Ledger 用户接连收到含钓鱼 QR 码的实体信件 最早出现在 链新闻 ABMedia。
相关文章
