昨晚,我很不幸地成为了众多遭受自称来自硬体钱包制造商 Trezor 的粗暴网路钓鱼攻击的人之一。
这封电子邮件的主题是“量子漏洞披露”,声称它正在通知我钱包的新固件,该固件将有助于保护我的钱包免受源于“量子技术的最新突破”的虚构漏洞的攻击,而“量子技术的最新突破”“揭示了现有加密中的漏洞”。
该电子邮件鼓励我“立即采取行动保护我的信息”,确保升级我的设备韧体。
阅读更多:加密货币钓鱼攻击袭击 CoinMarketCap、 Cointelegraph和 Trezor
它错误地声称升级是「保护您的资产和防止暴露于这些不断演变的威胁所必需的」。
然而,这封电子邮件最有趣的地方在于,它不是来自 Trezor,而是来自 [email protected]。
工作原理
格雷格·洛克哈德 (Greg Lockard) 负责Greg Expectations时事通讯,他在其中提供「我作为作家和编辑正在创作的漫画书和图画小说的最新消息」。
根据 Substack 在明显遭到入侵后发送的后续电子邮件,他鼓励订阅者忽略网路钓鱼电子邮件,并指出他的 Substack 遭到骇客攻击,并声称他正在与 Substack 合作纠正该问题。
一旦 Lockard 的 Substack 被骇客入侵,骇客似乎就可以将电子邮件添加到其清单中,该功能旨在让创作者更容易从其他平台汇入他们的电子邮件清单。
这意味著即使我之前不是订阅者,他们也可以在未经确认的情况下将我加入为订阅者。
Trezor 的安全漏洞帮助骇客瞄准加密用户,其使用的第三方支援入口网站在 2024 年遭到入侵。
收到此电子邮件并点击新闻通讯中的「升级韧体」按钮的用户将被引导至 quantumshield-trezor[DOT]io,但该网站目前不可用。
该网域可能会托管鼓励用户安装恶意软体或试图诱骗他们透露助记词的网站。
Protos 联系了 Substack,以确定他们采取了哪些措施来防止此类攻击以及具体如何避免这种攻击,但 Substack 并未立即做出回应。
我们需要担心量子脆弱性吗?
虽然量子电脑仍在不断发展,并可能最终对目前使用的各种加密类型构成威胁,但就目前而言,这些系统价格昂贵,缺乏破解大多数加密的能力。
一旦量子电脑被部署,它们将由少数参与者控制,并且最初可能会专注于少数目标。
阅读更多:互联网正在嘲笑萨尔瓦多的“量子安全”比特币 | Protos
各个链上也积极进行实质的开发工作,努力制定缓解策略,以降低这些攻击成功的可能性。
总的来说,当任何电子邮件或网站提示您需要授予其访问您钱包的权限时,请务必格外小心。目前以及在不久的将来,网路钓鱼的风险远大于量子计算。
