Trezor Web钱包发现伪造的URL攻击

Trezor在线钱包已受到伪造URL的攻击，试图窃取种子短语。 Redditors不小心发现了一个现已失效的网站，该网站模仿了官方钱包。伪造的URL攻击技术含量较低，但效率很高。

SECURITY NOTICE
Users of @Trezor's web wallet should NOT visit it by typing "https://t.co/ZTH56WFMys" into your browser – if you mis-type the URL you may be redirected to an imposter site that will try to steal your BTC! Bookmarks are your friend!https://t.co/3WLq4bo0NB

— Jameson Lopp (@lopp) October 4, 2019

这种类型的攻击依靠人为错误，与Trezor设备的整体安全性无关。伪造的至在线钱包的链接（甚至不包括Trezor）已通过聊天渠道散布，或躺在等待打字错误的人手中。

最好的建议是仅打开带有书签的在线钱包版本。 Trezor的在线钱包声称需要更新固件，以此作为索取种子短语的借口。假Trezor钱包在一段时间以来一直是已知的威胁，但是新版本不断出现。

Trezor钱包仍然具有多种已知的攻击媒介。供应商仍在销售伪造的钱包，或被篡改以向第三方透露种子短语的设备。

其他类型的攻击使用呼叫来安装伪造的固件或其他软件包。如果未及时标记和删除Google广告，则通常会带有伪造的在线钱包链接。攻击的另一种形式是DNS重定向，即用户在远离官方站点的地方看到另一个屏幕，再次询问种子短语。

Trezor建议仅将种子短语输入到不会篡改的个人硬件设备中，以保护种子短语。通常，最好在无法将信息中继给第三方的离线钱包中使用种子短语。

硬件钱包被视为长期存储的最安全方式。最近，Trezor对其固件进行了升级，提供了仅比特币的版本来存储领先的代币，这可能吸引了比特币的最大化主义者。

Firmware update:
▓▓▓▓▓▓▓▓▓▓▓▓ 100% Bitcoin

Download [2.1.6] for Model T or [1.8.3] for Model One.
Our latest article will help you to install it!https://t.co/KCG77DN6YD

— Trezor (@Trezor) October 2, 2019

用户现在可以在仅比特币版本或支持多种资产的固件之间进行选择。

—-

编译者/作者：不详

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。