Gli utenti di Trezor sono stati presi di mira da una truffa di phishing mentre gli aggressori sfruttano un difetto del sistema di supporto

È emersa una nuova campagna di phishing che ha preso di mira gli utenti del fornitore di hardware wallet di criptovalute Trezor, questa volta sfruttando una lacuna di sicurezza nel suo sistema di supporto automatizzato.

Secondo quanto riferito, gli aggressori hanno utilizzato l'infrastruttura di Trezor, in particolare il suo modulo di contatto, per avviare e-mail di supporto apparentemente legittime, mettendo a rischio i fondi degli utenti.

Il 23 giugno la società ha chiarito che i suoi sistemi interni non erano stati violati, ma la manipolazione dei suoi processi automatizzati ha permesso ai truffatori di ingannare i destinatari con messaggi dall'aspetto autentico.

La falla di sistema sfruttata porta all'abuso della posta elettronica di supporto

La truffa inizia quando i malintenzionati inviano false query tramite il modulo di supporto di Trezor utilizzando gli indirizzi e-mail delle loro vittime designate.

Ciò richiede una risposta automatica del supporto dal sistema di Trezor, dando l'impressione di una comunicazione legittima da parte dell'azienda.

Gli utenti che ricevono queste e-mail vengono quindi invitati a condividere informazioni sensibili, come il backup del portafoglio o la seed phrase, una classica tattica di phishing.

Sebbene i sistemi di Trezor rimangano invariati, l'incidente ha sollevato notevoli preoccupazioni sul potenziale uso improprio degli strumenti automatizzati di coinvolgimento dei clienti.

Trezor ha pubblicato su X (ex Twitter) che il problema è stato "contenuto" e ha detto che le indagini sono in corso.

L'azienda ha anche aggiunto che sono in corso l'implementazione di ulteriori misure di salvaguardia per prevenire simili abusi della sua piattaforma.

La storia recente della sicurezza di Trezor sotto esame

Questo incidente segue un precedente problema di sicurezza a gennaio, in cui gli aggressori hanno avuto accesso al database degli abbonati alla newsletter di Trezor.

L'attacco ha comportato l'uso improprio di un servizio di terze parti per l'invio di e-mail che sembravano provenire dal team di Trezor, sottolineando ulteriormente la vulnerabilità dei canali di comunicazione con i clienti.

In entrambi i casi, non è stato ottenuto alcun accesso diretto ai portafogli degli utenti o ai database interni, ma il continuo targeting della base di utenti di Trezor evidenzia la persistente minaccia dell'ingegneria sociale e del phishing nell'ecosistema delle criptovalute.

Gli analisti della sicurezza e i membri della più ampia comunità crypto hanno sollevato dubbi sulla capacità di Trezor di salvaguardare i suoi utenti da tali vettori.

In particolare, i ricercatori di Ledger Donjon, il ramo di sicurezza del rivale di Trezor, Ledger, hanno espresso le proprie preoccupazioni in merito alla sicurezza dei modelli Safe di Trezor.

Secondo la ricerca, questi portafogli potrebbero non essere completamente sicuri contro gli attacchi fisici avanzati, soprattutto se un utente malintenzionato ottiene l'accesso temporaneo al dispositivo.

L'azienda esorta a prestare attenzione all'aumento delle truffe mirate alle criptovalute

Nel suo ultimo avviso, Trezor ha ribadito le principali pratiche di sicurezza, ricordando agli utenti che non chiederà mai informazioni sensibili, incluso il backup del portafoglio.

L'azienda ha sottolineato che i backup devono rimanere sempre privati e offline.

Questo avvertimento arriva nel mezzo di un più ampio aumento delle campagne di phishing mirate alle criptovalute, molte delle quali si basano più sulla manipolazione degli utenti che su sofisticati strumenti di hacking.

L'ultimo incidente di Trezor è diventato un esempio ammonitore di come i sistemi automatizzati possano essere sfruttati in modi sempre più creativi, anche senza violare la rete centrale o il software di un'azienda.

Con la crescita dell'adozione delle criptovalute e l'espansione della base di utenti, è probabile che questi tipi di attacchi diventino più frequenti e complessi.