• Trezor利用HTML漏洞警告用户，该网络钓鱼诈骗源自其自己的支持电子邮件。
• 犯罪分子可以利用之前被盗的用户数据修改Trezor的支持电子邮件以发送网络钓鱼尝试。
• 目前尚不清楚是否有人中了这个骗局，因为该攻击依赖于过去的违规行为和暗网数据销售的信息。

今天早些时候，Trezor警告用户，其自己的帮助热线存在网络钓鱼骗局。利用HTML漏洞，犯罪分子可以编辑Trezor的支持电子邮件，以包含虚假警告和指向受损金库的链接。

目前尚不清楚是否有人真的落入了这个骗局，但这可能是一线希望。这次攻击可能是使用之前入侵的数据进行的，因此很难追踪肇事者。

诈骗者瞄准硬件钱包用户

Trezor是领先的硬件钱包品牌，在过去几年中已成为多起黑客攻击、漏洞利用和违规行为的目标。加密货币行业目前正面临一波攻击，钱包似乎再次受到威胁。

今天早些时候，Trezor以支持电子邮件的形式警告其客户可能存在网络钓鱼骗局：

Important Update

We have identified a security issue where attackers abused our contact form to send scam emails appearing as legitimate Trezor support replies.

These scam emails appear legitimate but are a phishing attempt.

Remember, NEVER share your wallet backup — it must…

— Trezor (@Trezor) June 23, 2025

对Trezor客户的网络钓鱼攻击相当优雅。该公司自己的通讯没有透露太多细节信息，仅声称“没有发生电子邮件泄露”，并且情况已得到控制。

然而，网络情报监管机构昨天发现了一个潜在威胁，特雷佐尔将其视为罪魁祸首。

黑客在暗网上公布了Trezor的安全漏洞，并将技术细节转发给愿意支付1万美元的人。这次违规涉及使用HTML字符串编辑从Trezor支持台发送的电子邮件。

邪恶的个人可以从这封电子邮件中请求“帮助”，填写潜在受害者的联系信息，而不是他们自己的。

然后，该请求将包含HTML代码，修改Trezor的自动响应以包括网络钓鱼尝试。修改后的电子邮件将发送给用户，似乎来自合法来源。

从用户的角度来看，Trezor自己的帮助台会意外发送电子邮件。Trezor的电子邮件正文将讨论虚假的“支持请求”，而主题将包含网络钓鱼尝试。

这种明显的Web 2骗局可能会引诱硬件钱包客户失去一切。

去年，Trezor警告其客户，联系其支持热线的66，000名用户可能已受到威胁。换句话说，这些人的联系信息可能可以在更低调的网站上购买。

黑客需要购买Trezor用户数据和HTML代码才能利用支持电子邮件，这可能会导致大规模网络钓鱼。

换句话说，这个网络钓鱼罪犯没有任何明显的线索，因为他们自己没有违反Trezor。其他黑客窃取了用户数据，发现了HTML漏洞，这两个漏洞都在出售。

希望调查人员能够追踪这些虚假支持请求，但目前尚不清楚这是否有效。

在过去的几个月里，低技能的社交工程骗局已被证明在渗透加密货币安全方面取得了成功。Trezor的硬件钱包非常安全，但网络钓鱼攻击可能会引诱用户绕过保护。

在这种环境下，每个人都需要保持警惕以防止欺诈。