资安专家 Dmitry Smilyanets 于 2 月 13 日通报,收到一封伪装成 Trezor 官方通知的实体信件,要求收件人在 2 月 15 日前完成「身份验证检查」(Authentication Check),否则装置将遭到功能限制。信件做工精细,印有全像防伪贴纸(hologram)和 QR Code,乍看之下与官方文件几乎无异。然而,信中一个低级错误泄了底——将 Trezor 执行长 Matěj Žák 误标为「Ledger CEO」,暴露了跨品牌混用的诈骗痕迹。
扫码即中招:助记词一输就没了
这波诈骗的攻击机制并不复杂,但极为有效。信件中的 QR Code 会将用户导向精心仿制的 Ledger 或 Trezor 设定页面,页面会要求用户输入 12、20 或 24 个单词的钱包助记词(recovery phrase),声称是「验证装置所有权」的必要步骤。
一旦用户输入助记词,资讯将透过后端 API 即时传送给攻击者,让他们得以汇入受害者的钱包并转走所有资产。
请务必记住:正规硬体钱包公司绝不会透过任何方式——无论是网站、电子邮件或实体信件——要求用户分享助记词。
熊市诈骗不减反增,恐慌心理成最大破口
网路安全公司 Cyvers 执行长 Deddy Lavid 指出,加密诈骗在熊市中不会减少,只会进化和适应:
市场低迷时,社交工程和冒充诈骗往往会增加。用户更焦虑、更容易冲动反应,也更容易受到恐惧策略的影响——例如假合规通知或钱包警报。
这正是此类实体信件诈骗的可怕之处:它利用了用户对「官方通知」的本能信任,加上设定截止日期制造紧迫感,在恐慌中诱导受害者主动交出资产控制权。
资料外泄是万恶之源
这波实体信件诈骗之所以能精准瞄准冷钱包用户,源自于 Ledger 和 Trezor 过往多起客户资料外泄事件:
- Trezor 于 2024 年 1 月揭露资料外泄事件,影响近 66,000 名客户
- Ledger 及其合作伙伴曾遭受多次重大资料外泄,导致客户实体地址外流
- 2021 年,诈骗者曾向 2020 年 Ledger 资料外泄的受害者寄送伪造的 Ledger Nano 硬体钱包
- 2025 年 4 月,含 QR Code 的实体钓鱼信件开始锁定 Ledger 用户
- 2025 年 5 月,假冒的 Ledger Live 应用程式被用来窃取助记词
Ledger 已于去年 10 月透过官方支援网站向用户发出实体信件诈骗警告。
自保守则:三个「绝不」
- 绝不扫描来路不明信件中的 QR Code
- 绝不输入助记词到任何网站——无论看起来多「官方」
- 绝不回应任何要求你在期限内完成「验证」的通知
如有疑虑,请直接透过官方网站(trezor.io / ledger.com)联系客服确认。
