加密货币硬件钱包Trezor出现钓鱼活动 诈骗分子利用缺陷发送钓鱼邮件

使用加密货币硬件钱包 Trezor 的用户请注意信息泄露风险和网络钓鱼问题，Trezor 客户支持网站存在的缺陷正在被诈骗团伙利用，诈骗分子利用缺陷向目标用户发送钓鱼网站用于骗取用户钱包的助记词或恢复密钥。

这种缺陷说起来也确实是非常低级：Trezor 支持网站允许任何人在不登录的情况下提交支持工单，用户只需要留下自己的邮箱即可，然后内容可以自定义也就是说明自己希望寻求的帮助。

诈骗分子收集目标用户邮箱然后提交工单，工单内容里会用耸人听闻的标题警告用户面临风险，需要点击某个链接进行检查，工单提交后 Trezor 支持网站会自动回复邮件，邮件发信地址为官方的 [email protected]

这个自动回复邮件本来是提醒用户跟踪工单进度的，但也会自动将用户提交的工单内容附加到邮件里，于是诈骗团伙只需要留下目标用户的邮箱即可，提交后邮件内容会被自动回复到目标用户的邮箱。

当用户收到邮件并且没有仔细检查就点击里面的链接则会进入钓鱼网站，这个钓鱼网站要求用户输入助记词或恢复密钥确保资产安全，但一旦用户输入那么账户里的资产就会被直接清空。

Trezor 提醒用户永远不要向任何人提供助记词或恢复密钥，因为助记词和恢复密钥都可以直接导出钱包并获得账户资产的控制权，这也是诈骗分子可以清空钱包资产的原因。

当然 Trezor 支持网站的这种缺陷非常常见，不少客户支持网站都存在类似的操作，也就是自动回复工单内容到邮件里，但 Trezor 没有对账户进行验证是诈骗分子利用的关键点。

接下来估计 Trezor 会要求对电子邮件进行验证后才能提交工单，这样可以确保只有真正的邮箱账户所有者才能收到自动回复，避免再被诈骗团伙利用。