Tiendientu.org

Cảnh báo lừa đảo: Website ví Trezor giả mạo

Icon 03/07/2018 Icon https://tiendientu.org/?p=25854 Icon copy link

Tối hôm qua, Nhóm hỗ trợ của Trezor đã bắt đầu nhận được các câu hỏi về chứng chỉ SSL không hợp lệ, đóng vai trò chứng minh xác thực các dịch vụ web của Trezor. 


Điều này có thể xảy ra vì một vài lý do, một số lý do ít nghiêm trọng hơn. Thật không may, sau khi điều tra cẩn thận các báo cáo này, Trezor phát hiện ra rằng cảnh báo chứng chỉ không hợp lệ xuất hiện vì các hoạt động lừa đảo người dùng ví.

tiendientu.org-canh-bao-website-vi-trezor-gia
Khi thấy Not Secure thì nên thoát ra ngay lập tức!!!

Các tín hiệu cảnh báo lừa đảo

Trang web ví giả mạo đã phục vụ cho một số người dùng cố gắng truy cập vào địa chỉ wallet.trezor.io – đây là địa chỉ hợp pháp. Vẫn chưa biết vector tấn công nào đã được sử dụng, nhưng các dấu hiệu hướng tới việc tấn công DNS hoặc BGP.

Khi truy cập web, ví giả hiển thị cảnh báo hỏng bộ nhớ thiết bị, yêu cầu người dùng khôi phục lại recovery seed. Đây là dấu hiệu cảnh báo thứ 2, vì câu văn sai lỗi chính tả.

Tín hiệu thứ ba là phương thức khôi phục – trang giả mạo bắt buộc user nhập cả số thứ tự cũng như seed word.

tiendientu.org-cac-tin-hieu-canh-bao-lua-dao
Không bao giờ nhập số thứ tự cùng với seed word!!!

Trong khi đó, Trezor từ lâu luôn nhắc nhở người dùng rằng:

Trezor One: Bạn không bao giờ nên nhập recovery seed cũng như số thứ tự trên máy tính. Số thứ tự luôn được cung cấp bởi thiết bị Trezor của bạn. Không bao giờ bởi máy tính.

Trezor Model T: Bạn không bao giờ nên nhập recovery seed vào bất cứ nơi nào trừ thiết bị Trezor của bạn.

Vậy làm thế nào tôi nhận ra website chính chủ?

Trước hết, hãy tìm “Secure” trên thanh địa chỉ của trình duyệt. Nếu không hợp lệ, trình duyệt sẽ cảnh báo cho bạn. (Đảm bảo truy cập URL chính xác: wallet.trezor.io)

Thứ hai, luôn luôn xác minh tất cả các hoạt động trên thiết bị Trezor của bạn. Bạn chỉ nên tin tưởng màn hình thiết bị và nội dung được viết trên đó. Đối với các nguồn thông tin khác, luôn duy trì thái độ hoài nghi lành mạnh.

Thứ ba, không bao giờ tiết lộ dữ liệu nhạy cảm, riêng tư cho bất kỳ ai. Bao gồm đội ngũ hỗ trợ của Trezor. Họ không bao giờ hỏi user về recovery seed. Chỉ có thiết bị Trezor của bạn mới có thể, nhưng theo cách an toàn.

tiendientu.org-lam-sao-nhan-biet-website-chinh-chu
Chỉ nên tin những gì hiển thị trên ví Trezor của bạn

Tại thời điểm viết bài, website giả đã bị gỡ xuống bởi nhà cung cấp dịch vụ lưu trữ. Tuy nhiên, người dùng nên cảnh giácbáo cáo tất cả các site đáng ngờ.

Có thể phương pháp tấn công này sẽ được sử dụng nhiều lần trong tương lai.

Lucifer – Theo Block.trezor.io

Urunit

Từ khóa: làm thế nào để phân biệt trezor thật giả, ví trezor giả

Video Đề xuất