資安專家 Dmitry Smilyanets 於 2 月 13 日通報,收到一封偽裝成 Trezor 官方通知的實體信件,要求收件人在 2 月 15 日前完成「身份驗證檢查」(Authentication Check),否則裝置將遭到功能限制。信件做工精細,印有全像防偽貼紙(hologram)和 QR Code,乍看之下與官方文件幾乎無異。然而,信中一個低級錯誤洩了底——將 Trezor 執行長 Matěj Žák 誤標為「Ledger CEO」,暴露了跨品牌混用的詐騙痕跡。
掃碼即中招:助記詞一輸就沒了
這波詐騙的攻擊機制並不複雜,但極為有效。信件中的 QR Code 會將用戶導向精心仿製的 Ledger 或 Trezor 設定頁面,頁面會要求用戶輸入 12、20 或 24 個單詞的錢包助記詞(recovery phrase),聲稱是「驗證裝置所有權」的必要步驟。
一旦用戶輸入助記詞,資訊將透過後端 API 即時傳送給攻擊者,讓他們得以匯入受害者的錢包並轉走所有資產。
請務必記住:正規硬體錢包公司絕不會透過任何方式——無論是網站、電子郵件或實體信件——要求用戶分享助記詞。
熊市詐騙不減反增,恐慌心理成最大破口
網路安全公司 Cyvers 執行長 Deddy Lavid 指出,加密詐騙在熊市中不會減少,只會進化和適應:
市場低迷時,社交工程和冒充詐騙往往會增加。用戶更焦慮、更容易衝動反應,也更容易受到恐懼策略的影響——例如假合規通知或錢包警報。
這正是此類實體信件詐騙的可怕之處:它利用了用戶對「官方通知」的本能信任,加上設定截止日期製造緊迫感,在恐慌中誘導受害者主動交出資產控制權。
資料外洩是萬惡之源
這波實體信件詐騙之所以能精準瞄準冷錢包用戶,源自於 Ledger 和 Trezor 過往多起客戶資料外洩事件:
- Trezor 於 2024 年 1 月揭露資料外洩事件,影響近 66,000 名客戶
- Ledger 及其合作夥伴曾遭受多次重大資料外洩,導致客戶實體地址外流
- 2021 年,詐騙者曾向 2020 年 Ledger 資料外洩的受害者寄送偽造的 Ledger Nano 硬體錢包
- 2025 年 4 月,含 QR Code 的實體釣魚信件開始鎖定 Ledger 用戶
- 2025 年 5 月,假冒的 Ledger Live 應用程式被用來竊取助記詞
Ledger 已於去年 10 月透過官方支援網站向用戶發出實體信件詐騙警告。
自保守則:三個「絕不」
- 絕不掃描來路不明信件中的 QR Code
- 絕不輸入助記詞到任何網站——無論看起來多「官方」
- 絕不回應任何要求你在期限內完成「驗證」的通知
如有疑慮,請直接透過官方網站(trezor.io / ledger.com)聯繫客服確認。
