Fake Trezor security alert phishing message shown on a laptop and phone
Кибербезопасность и хранение

Фишинг через Calendly: уроки взлома аккаунта Trezor в X

· 1 min read

В начале этого года компания-производитель аппаратных кошельков Trezor подтвердила факт несанкционированного доступа к своему официальному аккаунту X (Twitter). Позже было установлено, что инцидент стал результатом сложной фишинговой атаки с использованием поддельного приглашения Calendly — известного метода социальной инженерии, который неоднократно применялся против криптовалютных и технологических компаний. Этот случай служит полезным напоминанием о том, что даже организации, ориентированные на безопасность, могут стать жертвами атак, направленных на человеческий фактор, что подчеркивает необходимость повышенной осторожности при взаимодействии со сторонними интеграциями, ссылками для планирования встреч и неожиданными запросами на авторизацию.

Фишинговый крючок на фоне электронной почты на ноутбуке

Что такое фишинговая атака?

Фишинговая атака — это распространённая форма кибератаки, при которой злоумышленник выдаёт себя за доверенное лицо, компанию или поставщика услуг, чтобы обманом заставить жертву совершить небезопасное действие.

Это может включать ввод данных для входа на поддельном сайте, передачу OTP или кодов двухфакторной аутентификации, подтверждение вредоносного запроса на авторизацию, загрузку заражённого файла или отправку средств на адрес кошелька, контролируемый злоумышленником.

Цель злоумышленника обычно заключается в получении доступа к аккаунтам, краже конфиденциальной информации или манипулировании жертвой для подтверждения транзакции, которую она при других обстоятельствах никогда бы не одобрила.

Клавиша с надписью phishing, крючком и символом электронной почты

Распространённые методы фишинговых атак

Злоумышленники обычно используют фишинг через:

  • Поддельные электронные письма (email phishing): сообщения, создающие ощущение срочности или эмоционального давления, вынуждая пользователя действовать быстро, не успев всё обдумать — например, перейти по вредоносной ссылке, скачать заражённое вложение или передать конфиденциальную информацию.
  • Поддельные сайты: ссылки, ведущие на страницы, имитирующие легитимные сервисы, где жертва вводит данные для входа, коды аутентификации или другую информацию для доступа.
  • Сообщения (SMS/Zalo/Telegram): сообщения, отправленные через SMS, Zalo, Telegram или аналогичные каналы, которые имитируют доверенных контактов, поставщиков услуг или сотрудников компаний — часто используя срочность, страх или ложные запросы поддержки, чтобы заставить жертву перейти по ссылке, поделиться кодами или подтвердить запрос.

В целом, фишинг — это метод социальной инженерии, основанный на манипуляции доверием и психологией человека для эксплуатации уязвимостей безопасности.

Фишинговая атака через Calendly: взлом аккаунта Trezor в X (Twitter)

В начале этого года производитель аппаратных кошельков Trezor подтвердил факт несанкционированного доступа к своему официальному аккаунту X (Twitter). По словам Trezor, инцидент не был результатом случайного взлома, а стал частью тщательно подготовленной фишинговой кампании, разворачивавшейся на протяжении нескольких недель.

Сообщается, что злоумышленник связался с PR-командой Trezor, выдавая себя за легитимного представителя индустрии, и предложил провести медиа-интервью. В ходе общения было отправлено мошенническое приглашение Calendly, внешне очень похожее на настоящий запрос на планирование встречи, которое стало частью атаки социальной инженерии.

Позже один из сотрудников, не подозревая об угрозе, предоставил разрешения через вредоносный процесс авторизации, что позволило злоумышленнику публиковать сообщения напрямую от имени официального аккаунта Trezor в X.

Последствия и быстрая реакция Trezor

После инцидента Trezor оперативно удалил мошеннические публикации, которые пытались заманить пользователей к отправке средств на кошельки злоумышленников или взаимодействию с вредоносными ссылками. Компания также отозвала активные сессии и доступ сторонних приложений, связанных с инцидентом, одновременно проводя внутреннюю проверку безопасности для снижения риска подобных атак в будущем.

Пострадали ли пользователи и продукты?

По словам Trezor, инцидент не затронул безопасность аппаратных кошельков, приложения Trezor Suite или приватных ключей пользователей. Если пользователи не взаимодействовали с вредоносными публикациями, их аппаратные кошельки, приватные ключи и программное обеспечение Trezor не подвергались риску в рамках этого инцидента.

Под угрозой оказался официальный аккаунт Trezor в X — коммуникационный канал, а не системы, защищающие пользовательские средства. Trezor также заявил, что пересмотрит и усилит внутренние процедуры, связанные со сторонними приложениями и доступом к социальным сетям, чтобы снизить риск аналогичных инцидентов в будущем.

Как общее правило, никогда не следует принимать инвестиционные решения только на основе твита или публикации в социальных сетях. Срочность, хайп и эмоционально заряженные сообщения — именно те условия, в которых люди чаще всего принимают плохие решения.

Мошенническая публикация от имени Trezor с иконкой замка

Лучшие практики для защиты от фишинговых атак

Проверяйте ссылки, домены и отправителей

Прежде чем переходить по ссылке из письма, сообщения или приглашения в календаре, внимательно проверяйте реальный URL и личность отправителя. Будьте осторожны с небольшими ошибками в написании доменов (например, trezor.io вместо trez0r.io), сокращёнными ссылками или неожиданными запросами на вход/авторизацию. Если есть сомнения — переходите на сервис вручную, а не через предоставленную ссылку.

Остерегайтесь срочности и эмоционального давления

Фишинговые атаки часто пытаются вызвать чувство срочности, страха или ажиотажа, чтобы спровоцировать быструю реакцию до того, как жертва успеет всё обдумать («ваш аккаунт будет заблокирован», «ограниченное предложение», «требуется срочная проверка»). Легитимные компании редко требуют немедленных действий.

Используйте надёжную защиту аккаунтов и двухфакторную аутентификацию (2FA)

Даже если данные для входа были скомпрометированы, дополнительные уровни аутентификации могут снизить риск. По возможности отдавайте предпочтение приложениям-аутентификаторам или аппаратным ключам безопасности вместо SMS-подтверждения, а также регулярно проверяйте подключённые сторонние приложения.

Обновляйте программное обеспечение и устройства

Обновления безопасности часто закрывают уязвимости, которые злоумышленники активно используют. Следите за тем, чтобы ваша операционная система, браузер, приложения, расширения браузера и программное обеспечение кошельков всегда были обновлены.

Никогда не передавайте пароли, коды или seed-фразы

Ни одна легитимная компания не попросит вас отправить пароль, одноразовый код подтверждения, токены аутентификации или seed/recovery-фразы через email, чат или личные сообщения. Рассматривайте такие запросы как явный тревожный сигнал.

Будьте осторожны со сторонними интеграциями

Злоумышленники могут злоупотреблять такими инструментами, как Calendly, Slack, дополнения Google Workspace или расширения браузеров, запрашивая разрешения, которые выглядят обычными, но на деле предоставляют доступ к чувствительным аккаунтам. Авторизуйте интеграции только из проверенных источников и периодически проверяйте, какие приложения подключены к важным аккаунтам.

Защищайте свои аккаунты и данные

Регулярно проверяйте активные сессии входа, отзывайте доступ старых или подозрительных приложений и отслеживайте необычную активность в аккаунтах. Важные данные следует безопасно резервировать, желательно в зашифрованном или офлайн-хранилище.

Оставайтесь в курсе угроз и регулярно обучайтесь

Киберугрозы быстро развиваются, однако многие успешные атаки по-прежнему основаны на простых человеческих ошибках. Для команд регулярное обучение кибербезопасности и обмен реальными примерами атак помогают снизить вероятность того, что один необдуманный клик приведёт к серьёзному инциденту.

Предупреждающий знак на фишинговом крючке на желтом фоне

Холодное хранение: храните ваши ключи офлайн

Холодное хранение означает хранение приватных ключей криптовалюты полностью офлайн и вне подключения к интернету.

Ни ваши приватные ключи, ни seed-фраза никогда не должны вводиться, загружаться, фотографироваться или храниться на устройстве с подключением к интернету.

Если ваши онлайн-устройства не имеют возможности подписывать транзакции, удалённому злоумышленнику становится значительно сложнее атаковать вас. Даже если ваш компьютер или телефон скомпрометирован, злоумышленник не сможет напрямую переместить ваши средства без доступа к офлайн-устройству для подписи или recovery-фразе.

Именно поэтому аппаратные кошельки, такие как Trezor или Coldcard считаются надёжным стандартом для долгосрочного хранения криптовалюты: они помогают изолировать приватные ключи от онлайн-систем, при этом позволяя пользователям подписывать транзакции при необходимости.

Наше “золотое правило”

Если вы храните криптовалюту на сумму более 1 000 долларов США, не экономьте на безопасности. Стоимость отдельного аппаратного кошелька ничтожна по сравнению с потенциальной потерей средств — и его следует рассматривать как часть обязательных расходов на безопасное хранение цифровых активов.

Аппаратные кошельки Trezor на зеленом фоне

Multivendor multisig: снижение единой точки отказа

Multisig — сокращение от multi-signature — это схема кошелька, требующая нескольких приватных ключей для подтверждения Bitcoin-транзакции. Например, в схеме 2-из-3 существует три ключа, но для перемещения средств требуется любые два из них. Это снижает риск того, что потеря, повреждение или компрометация одного ключа приведёт к безвозвратной потере средств.

Multivendor multisig развивает эту концепцию дальше, используя аппаратные кошельки от разных производителей, таких как Trezor, Coldcard или Blockstream Jade, для хранения отдельных ключей. Каждое устройство использует собственную прошивку, архитектурные решения и процессы резервного копирования. Это снижает зависимость от одного производителя, модели устройства или программного стека.

Для крупных объёмов средств multivendor multisig может обеспечить более высокий уровень безопасности по сравнению с использованием только одного устройства. Однако multisig также требует аккуратной настройки и дисциплины при резервном копировании. Если процесс кажется слишком сложным, наша команда поможет вам пройти каждый этап настройки.

Почему именно “Bitcoin only”?

Подобные сверхнадёжные схемы холодного хранения в первую очередь предназначены для нативного Bitcoin.

Причина проста: Bitcoin — это цифровой актив с наиболее сильной позицией как средство долгосрочного и межпоколенческого сохранения капитала. Большинство альтернативных криптовалют носят более спекулятивный характер и, как правило, не оправдывают такой уровень долгосрочного планирования наследования и хранения.

Это не означает, что другие цифровые активы не нуждаются в защите. Они также должны храниться с использованием соответствующих аппаратных кошельков или схем холодного хранения. Однако лишь немногие активы обладают такой глубиной проверенной инфраструктуры, инструментов долгосрочной безопасности и решений для наследственного хранения, как Bitcoin.

Передача Bitcoin между поколениями — это реалистичный сценарий планирования. Создание многолетней схемы хранения вокруг очередного “горячего” актива текущего рыночного цикла — как правило, нет.

Иллюстрация 2-of-3 multisig-кошелька с несколькими ключами

Заключение

Главный урок из инцидента с Trezor заключается не в том, что аппаратные кошельки небезопасны.

Наоборот: продукты и приватные ключи не были слабым звеном.

Слабым звеном стала недостаточная осторожность во время обычного на первый взгляд онлайн-взаимодействия.

Знакомая платформа. Обычное приглашение в календаре. Правдоподобный профессиональный запрос. Именно так работают многие серьёзные фишинговые атаки: они не всегда выглядят подозрительно с первого взгляда. Часто они выглядят как часть обычного рабочего дня.

Для частных пользователей правило простое:

Не спешите!

…прежде чем нажимать, подписывать, подтверждать или отправлять средства. Для бизнеса действует то же правило, но в более широком масштабе: ограничивайте разрешения сторонних приложений, регулярно проверяйте подключённые аккаунты и следите за тем, чтобы одно поспешное подтверждение не могло скомпрометировать критически важный канал коммуникации.

Безопасность — это не только лучшие инструменты, но и формирование правильных привычек через постоянное обучение и повышение осведомлённости в области кибербезопасности.

В стрессовых ситуациях люди обычно действуют на уровне своей подготовки.

Убедитесь, что вы поддерживаете достаточно высокий уровень безопасности и осведомлённости, чтобы снизить риск успешности подобных атак — прежде чем они поставят под угрозу ваши с трудом заработанные сбережения, ваш бизнес или благополучие ваших близких.

Находитесь во Вьетнаме и ищете устройство Trezor?

Наша команда BitcoinVN Shop является официальным поставщиком устройств Trezor во Вьетнаме с 2017 года. Мы предоставляем клиентам доступ к новейшим оригинальным устройствам от чешского производителя аппаратных кошельков с доставкой напрямую с нашего склада во Вьетнаме — без таможенных и импортных сложностей.

Возможна доставка в тот же день по Сайгону. Также вы можете забрать устройство лично в наших пунктах выдачи в Сайгоне или Дананге, если предпочитаете не делиться личной информацией о доставке при покупке аппаратного кошелька.

Получите свой новый Trezor уже сегодня

Логотип BitcoinVN Shop на фоне побережья Дананга

Related Articles

· Кибербезопасность и хранение

300 миллионов долларов были похищены из-за мошенничества «Value Wallet».

Эта шокирующая цифра стала результатом одной из крупнейших на сегодняшний день атак с использованием социального инжиниринга, направленной против пользователя аппаратного...