В последние месяцы пользователям аппаратных кошельков Trezor массово рассылают фишинговые письма с «паническими» темами — от «Transition to Quantum-Resistant Protection» до «Critical Vulnerability Notice». Сценарий один и тот же: напугать «квантовыми атаками» или «критическим багом», увести человека на поддельную страницу и вынудить раскрыть seed-фразу или установить «обновление», которое на самом деле крадёт средства. Ниже — как именно работает атака, как её распознать, что делать при компрометации и какие правила OPSEC помогут не потерять активы.

Что происходит прямо сейчас: приманки и временная линия

Июнь 2025. Команда Trezor предупреждала о злоупотреблении их веб-формой поддержки: злоумышленники подставляли реальные адреса пользователей в форму, а затем «легитимная» авто-почта отправляла ответы, которые выглядели как настоящая переписка саппорта. В письмах просили «подтвердить seed» или «устранить срочную уязвимость», ссылались на «необходимость обновления прошивки». Это создало иллюзию официальности каналов и резко повысило конверсию фишинга.

Июль–август 2025. Появилась «квантовая» риторика: темы писем вроде «Action Required: Post-Quantum Encryption» или «Transition to Quantum-Resistant Protection», внутри — пугающие формулировки про «Shor’s algorithm», «взлом ECC/secp256k1» и «старую прошивку, не устойчивую к квантовым атакам». От жертвы требовали перейти по ссылке и «сменить seed» либо «обновить прошивку» вне официального приложения. Варианты тем и шаблонов отличались, но призыв одинаков: дайте резервную фразу или подключите устройство и выполните действия на вредоносном сайте.

Важно понимать: Trezor не проводит «удалённые» обновления через email-ссылки и никогда не просит резервную фразу «для проверки», «для миграции на пост-квантовую криптографию» и т. п. Официальные обновления — только через Trezor Suite, с проверкой на экране устройства.

Как устроена атака: путь злоумышленника и «крючки»

1. Сбор контактов. Злоумышленники добывают email-адреса из старых утечек, форумов, форм обратной связи или с помощью перепрофилированных ботов-скреперов.
2. Выдача себя за саппорт. Письмо маскируется под «ответ службы поддержки» или «безотлагательное уведомление о безопасности». Часто используется брендирование, адрес-подделка (display name), цитирование старых тредов.
3. Пугалка. «Квантовые атаки прямо сейчас ломают ECC», «ваш кошелёк уязвим», «срочно перейдите по ссылке и выполните инструкции». В некоторых письмах упоминают «обязательный редемпшн/миграцию» на «квантозащищённую прошивку».
4. Подмена окружения. Ссылка ведёт на фишинговый клон сайта/приложения. Вас просят ввести seed, установить «обновление» или подписать что-то через браузерный мост. Любое из этих действий достаточно, чтобы украсть активы.

Ключевая мысль: у аппаратного кошелька есть «экран истины». Атака «снимает» барьеры до того, как вы посмотрите на экран устройства — через панику, срочность и «официальную» обёртку. Ваша задача — не дать довести дело до шага, где вы сами вводите seed там, где этого делать нельзя никогда.

«Квантовые атаки» vs реальность: что правда, а что — манипуляция

• Shor’s algorithm — теоретический риск будущего, когда появятся масштабные универсальные квантовые компьютеры. На сегодня ни сеть Биткоина, ни стандартные кошельки пользователей не ломаются «по нажатию кнопки».
• Пост-квантовая криптография уже исследуется в отрасли, но «массовой миграции» прямо сейчас нет. Если когда-то она потребуется, производитель объявит официальную процедуру, не требующую от вас раскрывать seed.
• Любая просьба прислать seed-фразу, PIN, пароли, коды — это 100% мошенничество. Политика безопасности кошельков однозначна: такую информацию никому и никогда не сообщают.

Как распознать фишинг: 10 признаков

1. Срочность и страх: «немедленно», «критическая уязвимость», «квантовая угроза», «иначе вы потеряете средства».
2. Просьба выдать seed/PIN/коды. Это никогда не требуется ни для апдейтов, ни для «проверки».
3. Странный адрес отправителя или домен сайта, на который ведёт ссылка (лишние буквы, тире, зону меняют на .support, .help и т. п.).
4. Кликабельные кнопки «Update Now»/«Migrate» вместо прямой инструкции: «Откройте официальный Trezor Suite».
5. Грамматические мелочи, несвойственные официальным релизам: смешение стилей, капслок, «восклицательные» заголовки.
6. Требование установить расширение/приложение из непонятного источника.
7. Ссылки на «поддержку» в мессенджерах с предложением «быстро решить вопрос».
8. Ложные «PGP-подписи»/«хэши» в письме без возможности верифицировать их официальным ключом.
9. Несоответствие брендинга (логотипы, палитра, шрифты) и отсутствие корректных юридических блоков.
10. Наслоение «квантовой» терминологии без технического смысла — «мы зашифруем ваш seed пост-квантовым шифром». Это бессмыслица: seed не «шифруют», его не «переиздают» по email.

Если вы кликнули или ввели seed: план неотложных действий

1. Считайте старую seed-фразу скомпрометированной. Немедленно создайте новый аппаратный кошелёк (или новый seed на текущем устройстве), запишите seed офлайн.
2. Переведите все средства с адресов, полученных от старого seed, на новые адреса из новой seed-фразы. Подтверждайте реквизиты на экране устройства.
3. Проверьте «одобрения» (approvals) в сетях EVM и отзовите лишние разрешения на расходование токенов (это снижает вторичные риски при компрометации ПК/браузера).
4. Очистите окружение: проверьте ПК на вредоносное ПО, переустановите расширения, обновите менеджер паролей, пройдите ревизию почты (фильтры/пересылка).
5. Восстановите дисциплину: включите пароль-фразу (passphrase) как дополнительный слой (если понимаете, как ею пользоваться), активируйте 2FA на сервисах, где это уместно.

Базовый разбор по фишингу и защите — в нашей Wiki: «Фишинг в крипте: как распознать и защититься». Памятка по seed-фразе и self-custody — здесь: «Seed-фраза — резервная копия доступа к кошельку» и «Self-custody vs биржа».

OPSEC для розницы: правила, которые реально работают

• Правило №1: никому и никогда не сообщайте seed-фразу, PIN, пароли, коды. Никто из саппорта их не спрашивает.
• Только официальный путь обновлений: открывайте Trezor Suite самостоятельно, а не по ссылке из письма. Всегда подтверждайте действия на экране устройства.
• Проверяйте домен и сертификат вручную, избегайте кликов по коротким ссылкам и кнопкам «Update Now» из писем.
• Разделяйте окружения: отдельный браузер/профиль без лишних расширений для крипто-операций; не храните seed на ПК или в облаке.
• Passphrase и мультисиг: дополнительный слой для значительных сумм (при понимании рисков и дисциплины бэкапов).
• Учёт писем: включите строгие фильтры почты, помечайте подозрительные письма, обучите «домашних» базовой гигиене.

FAQ

См. также на 24k.ru

• Фишинг в крипте — как распознать и защититься
• Seed-фраза — резервная копия доступа к кошельку
• Self-custody vs биржа — сравнение хранения активов
• Холодный кошелёк: офлайн-хранение (чек-лист)