【安全资讯】针对Trezor和Ledger硬件钱包用户的实体邮件钓鱼攻击

概要：

在数字资产安全日益受到关注的背景下，一种新型的物理邮件钓鱼攻击正瞄准加密货币硬件钱包用户。攻击者冒充知名硬件钱包制造商Trezor和Ledger，向用户寄送伪造的官方信件，利用紧迫感诱骗受害者扫描二维码并提交钱包恢复短语，从而窃取其加密资产。这种结合了传统邮件与数字欺诈手段的攻击方式，凸显了网络犯罪手段的不断演变和对物理世界渗透的威胁。

主要内容：

威胁行为者正在向Trezor和Ledger硬件钱包用户寄送实体信件，谎称来自这两家公司的安全或合规团队。信件内容声称用户必须完成强制性的“身份验证检查”或“交易检查”，否则将面临钱包功能受限的风险，并附上引导至恶意网站的二维码。这种攻击利用了Trezor和Ledger在过去几年中发生的数据泄露事件所暴露的客户联系信息进行精准投递。

扫描信件中的二维码会将受害者引导至精心仿冒的Trezor或Ledger官方设置页面。这些钓鱼网站进一步制造紧迫感，警告用户若不完成流程将导致访问受限、交易签名错误或无法接收更新。最终，网站会要求用户输入其12、20或24个单词的恢复短语，并声称这是验证设备所有权和启用安全功能所必需的。

一旦用户提交恢复短语，数据会通过后端API端点（例如 https://trezor.authentication-check[.]io/black/api/send.php）发送给攻击者。获得恢复短语等同于掌握了钱包的私钥，攻击者可以立即将受害者的钱包导入自己的设备并转移全部资金。尽管针对加密货币钱包的电子邮件钓鱼很常见，但这种利用实体邮件进行的大规模钓鱼活动仍属相对罕见。

硬件钱包的恢复短语是控制加密资产的终极密钥，必须离线保存。Trezor和Ledger等正规制造商绝不会通过任何方式要求用户输入或分享恢复短语。用户应始终保持警惕，仅通过硬件钱包设备本身输入恢复短语，切勿在电脑、手机或任何网站上操作，这是保护数字资产不被窃取的基本原则。