昨晚,我很不幸地成為了眾多遭受自稱來自硬體錢包製造商 Trezor 的粗暴網路釣魚攻擊的人之一。
這封電子郵件的主題是“量子漏洞披露”,聲稱它正在通知我錢包的新固件,該固件將有助於保護我的錢包免受源於“量子技術的最新突破”的虛構漏洞的攻擊,而“量子技術的最新突破”“揭示了現有加密中的漏洞”。
該電子郵件鼓勵我“立即採取行動保護我的信息”,確保升級我的設備韌體。
閱讀更多:加密貨幣釣魚攻擊襲擊 CoinMarketCap、 Cointelegraph和 Trezor
它錯誤地聲稱升級是「保護您的資產和防止暴露於這些不斷演變的威脅所必需的」。
然而,這封電子郵件最有趣的地方在於,它不是來自 Trezor,而是來自 [email protected]。
工作原理
格雷格·洛克哈德 (Greg Lockard) 負責Greg Expectations時事通訊,他在其中提供「我作為作家和編輯正在創作的漫畫書和圖畫小說的最新消息」。
根據 Substack 在明顯遭到入侵後發送的後續電子郵件,他鼓勵訂閱者忽略網路釣魚電子郵件,並指出他的 Substack 遭到駭客攻擊,並聲稱他正在與 Substack 合作糾正該問題。
一旦 Lockard 的 Substack 被駭客入侵,駭客似乎就可以將電子郵件添加到其清單中,該功能旨在讓創作者更容易從其他平台匯入他們的電子郵件清單。
這意味著即使我之前不是訂閱者,他們也可以在未經確認的情況下將我加入為訂閱者。
Trezor 的安全漏洞幫助駭客瞄準加密用戶,其使用的第三方支援入口網站在 2024 年遭到入侵。
收到此電子郵件並點擊新聞通訊中的「升級韌體」按鈕的用戶將被引導至 quantumshield-trezor[DOT]io,但該網站目前不可用。
該網域可能會託管鼓勵用戶安裝惡意軟體或試圖誘騙他們透露助記詞的網站。
Protos 聯繫了 Substack,以確定他們採取了哪些措施來防止此類攻擊以及具體如何避免這種攻擊,但 Substack 並未立即做出回應。
我們需要擔心量子脆弱性嗎?
雖然量子電腦仍在不斷發展,並可能最終對目前使用的各種加密類型構成威脅,但就目前而言,這些系統價格昂貴,缺乏破解大多數加密的能力。
一旦量子電腦被部署,它們將由少數參與者控制,並且最初可能會專注於少數目標。
閱讀更多:互聯網正在嘲笑薩爾瓦多的“量子安全”比特幣 | Protos
各個鏈上也積極進行實質的開發工作,努力製定緩解策略,以降低這些攻擊成功的可能性。
總的來說,當任何電子郵件或網站提示您需要授予其訪問您錢包的權限時,請務必格外小心。目前以及在不久的將來,網路釣魚的風險遠大於量子計算。
