针对 Trezor 网络钓鱼诈骗的 Intuit 提起集体诉讼

最近，加密货币盗窃的受害者已对金融软件公司IntuitInc.提起集体诉讼，原因是未能保护其Mailchimp营销产品，导致其Trezor钱包中的加密货币被盗。

据彭博社报道，这起集体诉讼指控金融软件公司Intuit及其子公司RocketScienceGroupLLC未能充分保护其数据系统，导致一名伊利诺伊州男子从他的Trezor钱包中损失87,000美元。

2021年9月，Intuit以120亿美元收购了Mailchimp。

讲述Trezor网络钓鱼诈骗

4月4日，Mailchimp服务宣布了一项影响100多个客户的“受众数据”的黑客攻击，其中包括加密钱包供应商Trezor。

黑客使用Trezor电子邮件地址向Trezor客户发送虚假电子邮件，进行社会工程攻击，要求他们点击链接，伪装成特洛伊木马，看起来与Trezor的应用程序一模一样，通知用户“数据泄露”已经泄露了他们的个人帐户。

假冒的Trezor应用程序所展示的功能使其与真正的Trezor应用程序几乎无法区分。例如，除非一个人训练有素的眼睛看到了来自trezor的“e”字符下的小点：“ẹ”，否则他们永远不会知道。多年来，使用特殊的Unicode字符一直是一种已知的社会工程策略，并且通常与Unicode域网络钓鱼攻击有关。

与大多数网络钓鱼案例没有什么不同，一旦伪装的链接被点击，它会要求用户输入他们的个人身份信息(PIAA)，包括用户名和密码。Trezor称这次袭击“非常复杂”，并表示这是经过精心策划的。

首席信息安全官表示，工具受到威胁

Mailchimp的首席信息安全官SiobhanSmyth告诉TheVerge，Mailchimp于2022年3月26日通过非法访问的客户服务和帐户管理工具获悉了违规行为。

Trezor内部的消息人士告诉计算机安全新闻媒体GrahamCluley，Mailchimp内部人员已经流氓并应对这次攻击负责。该诉讼还表明，Mailchimp的一名员工点击了网络钓鱼链接。

“我们为此事件向我们的用户真诚地道歉，并意识到它给我们的用户及其客户带来了不便并提出了问题，”史密斯说。

“我们为我们的安全文化、基础设施以及客户对我们保护他们数据的信任感到自豪。我们对我们为保护用户数据和防止未来发生事故而采取的安全措施和强大的流程充满信心，”他补充道。