De acordo com a página da Trezor, diversos clientes têm recebido comunicações falsas sobre suas carteiras de hardware.
Os hackers podem estar usando dados de um concorrente (Ledger) para encontrar clientes que também possuem uma Trezor.
A empresa adverte para que caso o usuário tenha recebido uma mensagens de erros ou problemas pedindo para que algo seja verificado através de algum link, estas devem ser ignoradas.
O usuário também pode se informar usando o formulário de suporte Trezor.
A Trezor salienta que jamais pedirá a seed de recuperação do cliente, e que nunca se comunicará por texto sobre dispositivos.
A empresa ressalta que o cliente não deve confiar em mensagens enviadas que solicitem seed de recuperação, e informa que fornecer esta “senha” comprometerá a conta do usuário e permitirá que qualquer pessoa furte moedas.
De acordo com a Trezor, “o momento e o escopo desse esquema de phishing sugerem que esta é uma segunda onda de ataques resultante de uma violação do banco de dados de comércio eletrônico de nosso concorrente (Ledger)”.
Hackers que adquiriram os dados desse ataque estão visando os clientes da Ledger, os quais eles presumem que também possuam uma carteira Trezor.
É importante ressaltar que os dados dos clientes Trezor não foram divulgados, e que estes continuam no anonimato.
A empresa informa que os hackers estão enviando links para uma versão falsa do site Trezor, uma réplica do wallet.trezor.io, que foi modificado para pedir aos visitantes a sua seed de recuperação, expondo completamente suas moedas.
Assim que o usuário insere sua seed na página falsa, o invasor simplesmente replica sua carteira e envia os fundos para um endereço de sua propriedade.
A página criada pelo hacker não existe na carteira Trezor real.
A Trezor informa que este tipo de ataque tem se tornado constante, e que conscientizar é fundamental, havendo muitos recursos para compartilhar com outras pessoas para informá-las sobre os perigos.
Assim, a Trezor instrui que:
1 – Nunca digite sua semente de recuperação ou compartilhe-a com ninguém, nem mesmo com os funcionários da Trezor.
2 – Execute todas as ações importantes usando sua carteira de hardware, incluindo sementes de recuperação.
3 – Verifique novamente o URL e os certificados SSL ao acessar qualquer site onde você gerencia fundos.
4 – Use endereços de e-mail descartáveis sempre que possível.
5 – Não forneça dados pessoais sem um bom motivo.
6 – Use um ponto de coleta para entrega física quando possível.
A Trezor se disponibiliza a ajudar e verificar se está tudo correto com a carteira hardware do cliente, bastando este entrar em contato com a empresa através de seu formulário de suporte.