加密 硬件钱包 的拥有者们现在正在收到冒充 Trezor 和 Ledger 的欺诈信件，信中附有全息图、伪造的高管签名和 QR 码，旨在窃取他们的数字资产。

在周五，网络安全专家 Dmitry Smilyanets 在 X 上标记了这个骗局，发布了一封带有 Trezor 品牌的信件，指出其令人不安的制作质量。

这封 Trezor 信件，署名为其竞争对手 Ledger 的 CEO，并附有美国邮政戳，暴露了骗局制造者在表面光鲜背后的粗心大意。

“大家要注意安全，我们绝不会先主动联系你。永远不要与任何人分享你的钱包备份。始终只检查官方渠道，并仔细核对一切。不要相信，验证，” Trezor 对 Smilyanets 的推文作出了回应。

根据网上分享的副本，假冒 Trezor 品牌的信件声称新“认证检查®”功能将很快成为强制性，并指示用户在设定的截止日期前扫描 QR 码以激活，否则将面临对钱包软件的访问限制。

自去年十月以来，一封 以 Ledger 为主题的信件 使用了类似的语言，涉及强制性“交易检查”，并敦促收件人扫描 QR 码。

欺诈者可能利用了这两家公司多年来记录在案的数据泄露，这些攻击曝光了电子邮件地址、家庭地址、电话号码和硬件钱包拥有权的证明。

网络犯罪顾问 David Sehyeon Baek 告诉 Decrypt，转向实体邮件是一个有意的心理升级，利用了几十年来建立的本能。

“邮寄信件对人们的影响不同，尤其是钱包用户，因为它给人一种威胁已经离开互联网，进入了你的现实生活，”他说。“电子邮件可以被视为垃圾邮件，但一封带有你姓名和家庭地址的信件基本上传达了‘我们可以找到你’，这会引发更强烈的安全反应。”

“它还借用邮政系统的可信度——我们大多数人都习惯将邮寄通知与银行、政府和公用事业联系在一起，因此整洁的信头和正式的语气可能比随机的收件箱信息更显得正式，”他补充道。

“十年前泄露的数据今天仍然可以有用——人们多久更改自己的手机号码或家庭地址？并不常见，”Baek 在接受 Decrypt 采访时说，泄露的数据是“粘性的”，使得与泄露相关的档案可以在电子邮件、电话和实体邮件中驱动针对性的诈骗多年。

他补充说，加密货币的隐私保护常常被夸大，指出“它并不是真正匿名的，而是伪匿名的”，一旦钱包与真实人关联，“整个交易历史就变得非常可追溯。”

“像 Ledger 和 Trezor 这样的硬件钱包提供商对直接阻止钓鱼活动的能力有限，因为钓鱼发生在设备外部——在用户的浏览器内，”网络安全公司 Kerberus 的首席执行官兼创始人 Alex Katz 告诉 Decrypt.

硬件钱包数据泄露

近年来，Ledger 和 Trezor 遭遇了多起第三方数据事件，包括 Ledger 在 2020 年的电子商务泄露 曝光了超过一百万封电子邮件和数千个家庭地址与电话号码，并且上个月报告了其电子商务合作伙伴的泄露事件 影响了订单数据。

Trezor 也因 2022 年的一次 MailChimp 内部事件 和随后的第三方支持平台泄露 影响了大约 66,000 名用户，导致了持续的钓鱼活动。

加密用户仍需“定期进行 KYC 才能使用集中交易所，” Katz 指出，这些数据库可能会遭到泄露，一些事件的披露也会被延后，这意味着“总会有东西在某处泄露。”

他补充说，用户应假设他们始终在受目标。“攻击者会不断结合像实体邮件、短信和伪造应用等多个渠道，因为这增加了可信度和转化率。不仅仅是到 2026 年——而是总体来看，” Katz 说。

Decrypt 已联系 Trezor 和 Ledger 请求评论。

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。