加密钱包安全

Trezor 钓鱼邮件骗局：假固件更新、假安全警报偷走你的助记词

一封看起来很官方的邮件说你的 Trezor「面临风险，需要立即更新固件」或「我们的数据发生泄露，请迁移你的钱包」。它把你引到一个仿冒的 Trezor 网站或假 Trezor Suite，要你输入 12 或 24 个单词的助记词来「恢复」或「保护」资产。你输入的那一刻，钱包就被清空了。这正是 2022 年起一直在用、2026 年仍在流行的盗币手法。

SB

SafeBrowz 威胁研究团队 安全研究2026年6月19日11 分钟阅读

这封 Trezor 邮件长什么样

这类邮件做得越来越像真的。它会用 Trezor 的绿色盾牌标志、官方排版、甚至以假乱真的发件人显示名，制造一种「你的钱包出事了，必须马上行动」的恐慌。常见的几种话术几乎都围绕同一个目的：把你引到一个假页面，骗你交出助记词。

「安全警报：您的资产面临风险。」邮件声称检测到针对你钱包的异常活动或入侵尝试，要你「立即验证」「重新激活」钱包。点进去，是一个仿冒的 Trezor 登录或恢复页面，要你输入助记词来「确认你是持有人」。

「需要紧急固件更新。」邮件说发现一个严重漏洞，你必须马上更新 Trezor 固件，否则资产不安全。它给一个「立即更新」按钮，把你带到假的 Trezor Suite 下载页或网页版，安装假软件或直接弹窗要你输入助记词「以完成更新」。

「数据泄露，请迁移你的钱包。」邮件称 Trezor 的系统发生数据泄露，你的钱包可能已暴露，需要「迁移」到一个新的安全钱包。所谓迁移，就是让你在它的页面输入现有助记词，它即刻拿去清空你的钱包。这一招特别毒，因为它利用了用户对真实泄露事件的恐惧。

三种话术，落点完全一样：那个让你输入 12 或 24 个英文单词的输入框。只要你填了，骗子就拥有了你钱包的完整控制权。

这不是新招：2022 年的真实泄露，被沿用到了 2026

这套手法有真实的历史背景，了解它能帮你看清骗子为什么能把邮件做得这么像。2022 年，Trezor 使用的一家第三方邮件营销服务（其新闻通讯供应商）发生了数据泄露，攻击者拿到了一批 Trezor 用户的邮箱地址。随后，这些用户收到了假冒 Trezor 的钓鱼邮件，谎称发生了安全事件，诱导他们下载一个假的「Trezor Suite」应用，并在其中输入助记词。Trezor 官方当时就在博客和官网安全页面公开警告了这次攻击。

关键在于：那次泄露的是邮箱地址，不是助记词；只要用户没有在假页面输入助记词，资金就是安全的。但这套「邮件 + 假 Suite + 索要助记词」的剧本太好用，于是被一直沿用下来。到 2026 年，发件名单换了、页面更精致了、话术加上了「固件更新」和「迁移钱包」的新外衣，但内核分毫未变：想方设法让你把助记词敲进一个不是你硬件设备的地方。

这也解释了一个常见疑问：「骗子怎么知道我用 Trezor、还知道我的邮箱？」答案往往很朴素，邮箱来自各类数据泄露名单、加密社区注册信息或公开论坛，与你是否真的持有 Trezor 无关，骗子是广撒网。哪怕你从没买过 Trezor，也可能收到这封邮件。它能不能得手，只取决于一件事：你有没有输入助记词。

SafeBrowz 会标记的假 Trezor 链接（示例）

整条骗局里，唯一活在你浏览器里、能被扫描器提前抓住的环节，就是邮件里那个假 Trezor 网站或假 Trezor Suite 的链接。这些页面几乎都搭在新注册的仿冒域名、免费托管或一次性子域名上，名字里缝进「trezor」「suite」「wallet」「secure」这类词来骗信任。下面是用于演示的去活化（不可点击）仿冒域名，并非真实服务，方括号是故意加上以防误点的：

• trezor-suite-wallet[.]app
• trezor-firmware-update[.]com
• secure-trezor-migrate[.]net

注意它们的形态。一个让人安心的品牌词（「trezor」「suite」「secure」）摆在前面，后面跟着一个连字符拼接的描述词和一个真 Trezor 绝不会用来做官方页面的后缀。真正的 Trezor Suite 是你从官网下载的桌面应用，或在官方域名上访问；它的设置与恢复流程，从不在某个网页或弹窗里让你打字输入助记词，助记词永远只在硬件设备本身上输入。Trezor 唯一的官方域名是 trezor.io，Trezor Suite 的官方网页版在 suite.trezor.io。任何带「trezor」字样却不是这两个域名的页面，都值得高度怀疑。收到任何让你「更新固件」「迁移钱包」或「验证助记词」的链接，先用下面的检测框验一验再说。

每次都能坐实这是诈骗的危险信号

你不必懂区块链技术也能识破它。结构本身就是破绽。

• 任何环节要你输入助记词（恢复种子）。这是决定性的一条。真正的 Trezor 绝不会在邮件、网站、客服或弹窗里要你输入那 12 或 24 个单词。助记词只在你自己的 Trezor 硬件设备屏幕提示下输入，仅用于在设备上恢复钱包。任何屏幕上的输入框让你打字填助记词，就是骗局。
• 邮件制造紧迫感和恐慌。「资产面临风险」「必须 24 小时内更新」「不操作钱包将被锁定」。让你慌、让你急、让你来不及核对，是所有钓鱼的共同套路。
• 「固件更新」要你在网页上完成。真正的 Trezor 固件更新只在官方 Trezor Suite 应用里、且设备插上电脑时进行，绝不会通过邮件链接里的某个网页完成，更不会在更新过程中弹窗索要助记词。
• 「数据泄露请迁移钱包」的说法。正规钱包发生事件时会公开通报，但它永远不会让你把助记词输进某个页面来「迁移」。迁移钱包这个动作本身就只需要在你自己的设备上完成。
• 链接域名不是 trezor.io。带连字符的 trezor-suite-wallet、trezor-firmware-update，或挂在免费托管子域名上的「trezor」页面，都不是官方。官方只有 trezor.io 和 suite.trezor.io。
• 发件人地址对不上官方。显示名可以伪造，但仔细看真实发件邮箱，往往是一串陌生域名。哪怕显示名写着 Trezor，也要以正文有没有索要助记词为最终判据。
• 邮件附带可下载的「Trezor Suite」安装包。只从 trezor.io 官网下载 Trezor Suite，任何邮件附件或第三方链接给的安装包都可能是假的。

为什么「助记词」是这套骗局唯一的命门

理解一件事，你就再也不会上这个当：在加密世界里，助记词（也叫恢复种子，那串 12 或 24 个英文单词）就是你钱包的总钥匙。谁拿到它，谁就能在自己的设备上恢复出你的整个钱包，把里面的资产全部转走，不需要你的硬件设备、不需要你的 PIN、不需要任何其他东西。这正是硬件钱包反复强调「助记词只能离线保管、绝不输入到任何联网设备」的原因。

骗子明白这一点，所以他们的全部努力，都是为了让你把这串单词从安全的离线纸条搬到一个联网的输入框里。无论包装成「固件更新」「安全验证」还是「迁移钱包」，最后那一步永远是同一个：请输入你的助记词。一旦你照做，骗子在自己的钱包软件里粘贴这串单词，几秒钟就完成了对你钱包的接管，随后把资产一笔笔转走。区块链转账不可撤销，到账即落袋，几乎无法追回。

记住这条底层逻辑：助记词只属于你的离线纸条和你的硬件设备本身，不属于任何邮件、网页或客服。任何要求你把助记词输入到屏幕上、念出来、或在「官方指导」下填写的环节，无论对方说得多专业、多紧急，都是在请你亲手把整个钱包交出去。

SafeBrowz 在网络层面看到了什么

邮件本身落在你的收件箱，邮件过滤能拦一部分。但让整条骗局得以得手的那个环节，也就是收助记词的假 Trezor 页面，是一个网页，这正是浏览器端检测发挥作用的地方。在 SafeBrowz 引擎中，这类钱包钓鱼页在三层检测里的表现高度一致。

第一，这些域名又新又一次性。假 Trezor 页面几乎总是在群发邮件前几天甚至几小时才注册，被举报后立刻弃用换新。单凭域名年龄信号，就能在页面内容加载之前标记出很大一部分这类站点。

第二，是品牌冒充本身。一个 trezor 品牌词出现在一个并非 trezor.io 的域名上，无论是连字符拼接（trezor-suite-wallet）还是挂在免费托管子域名上，本身就是高置信度的冒充信号，与页面写了什么无关。真正的 Trezor 内容只来自 trezor.io 及其官方子域名。

第三，内容是一份冒充画像。一个索要 12 或 24 个单词助记词的表单、一个伪装成 Trezor Suite 恢复流程的界面、一段「输入恢复种子以保护账户」的话术，全都由一个毫无官方背书的主机提供，这是教科书式的钱包凭据钓鱼。内容层分析能抓住一个任何黑名单都没见过的全新仿冒站，这一点很关键，因为这些站点被批量生产的速度，比任何静态名单能追踪的都快。

操盘者接下来会换上哪些品牌和手法

诈骗团伙追着「什么能转化」走。基于同样的利益结构，可信的下一步是可以预判的。

• 从 Trezor 扩展到其他硬件钱包。同一套「邮件 + 假官网 + 索要助记词」的剧本，可以原样套到 Ledger、Keystone、OneKey 等任何品牌上。我们在 假冒 Ledger 安全警报邮件 一文里报道过同类手法。
• 把假页面做成假 App 或假钱包客户端。诱导你下载一个第三方「Trezor Suite」或「钱包管理器」App，在里面填助记词，进一步躲开浏览器的拦截。只在 trezor.io 官网下载，认准官方来源。
• 用 AI 把邮件和客服做得更逼真。AI 代写多语言钓鱼文案、AI 客服实时应答，让跨境团伙能用流利的中文同时处理大量目标。
• 借真实事件造势。每当行业里有真实的泄露或漏洞新闻，假「迁移钱包」「紧急修复」邮件就会跟着冒出来，蹭恐慌情绪提高得手率。

钓鱼页上的品牌是可以随意替换的。而那个结构，也就是一个用新注册或免费托管域名冒充钱包品牌、索要助记词的页面，是替换不掉的。这正是为什么一套结构性的、浏览器端的防御，胜过一个品牌一个品牌地追。

为什么早一步抓住链接，胜过事后补救

等到你已经在假页面输入了助记词，骗局其实已经赢了。助记词一旦交出去，骗子可能在几秒内就接管钱包并开始转账，而区块链转账不可撤销，钱几乎追不回来。这时你能做的，只剩下把还没被盗的资产尽快转到一个全新的、用全新助记词生成的安全钱包，跟时间赛跑。

技术能干净利落打断链条的唯一时刻，是在最开始，当那条邮件链接被点开、你即将输入助记词的那一刻。那个链接是一个 URL，浏览器层的扫描器会直接检查它。当你点开一个伪装成 Trezor 的钓鱼页时，扩展能识别出一个新注册或免费托管域名上的钱包品牌冒充，并在你输入任何助记词之前发出警告，无论是谁发的邮件、无论对方多么紧急。邮件过滤很有价值，但它作用在消息上，而骗子在不断更换发件域名绕过它。浏览器层作用在目的地上，这是骗局无法回避的：要拿你的助记词，它就必须把你引到它的页面。

SafeBrowz 如何拦截此威胁

SafeBrowz 采用 3 层检测架构：本地 + API + AI。

• 第 1 层 - 本地检测：60+ URL 模式 + 550+ 品牌专属签名（包括西里尔字母和 Punycode 同形异义变体）+ 社区白名单/黑名单，全部在扩展程序中直接运行，在页面渲染之前完成。它能即时抓住免费托管子域名或连字符域名上的 Trezor 等钱包品牌关键词、廉价 TLD 滥用，以及「trezor-suite」「firmware-update」「wallet-migrate」这类仿冒家族。
• 第 2 层 - API 检查：聚合 Google Safe Browsing、PhishTank、URLhaus、ScamAdviser，外加域名年龄查询（多数假 Trezor 站只有几天甚至几小时历史）和 30+ 诈骗 TLD。
• 第 3 层 - AI 深度扫描：支持 100+ 语言的内容感知品牌冒充分析，能抓住一个任何黑名单都没见过的全新钱包钓鱼页，包括那些索要助记词、伪装成 Trezor Suite 恢复或固件更新流程的页面。

检测签名源自威胁情报研究和我们内部的品牌数据库，而非用户浏览数据。SafeBrowz 不存储每个用户的浏览历史。

不想安装任何东西的人，可以使用同一引擎驱动的免费 公共网址检测工具。粘贴任意可疑链接，几秒钟得到结论。

现在该怎么做

如果你刚刚在某个页面输入过助记词，或怀疑自己中招，时间就是一切，正确的应对如下。

1. 立刻把还没被盗的资产转走。用一个全新的、独立生成的安全钱包（在一台干净设备上、用一组全新的助记词），尽快把仍留在被泄露钱包里的资产转出。已暴露的助记词等于钱包已失守，越快越好，与骗子抢时间。
2. 不要再使用那组助记词。那串单词从泄露的一刻起就永久作废了，任何用它生成的钱包都不再安全，绝不要把任何新资产转回去。
3. 不要再点邮件里的任何链接、不要下载任何附件。关掉假页面，不要回复邮件，把这封钓鱼邮件标记为垃圾/钓鱼。
4. 去官方域名核对真实状态。只在浏览器地址栏手动输入 trezor.io 访问官网与 Trezor Suite，核对是否真有所谓的「事件」或「更新」。不要通过邮件里的链接进入。
5. 报案与举报。在中国大陆，拨打 110 报警并拨 96110 全国反诈专线，或用「国家反诈中心」App 一键举报；把诈骗邮件和链接转发到 12321（网络不良与垃圾信息举报受理中心）。在香港拨防騙易热线 18222，紧急情况拨 999；在台湾拨反詐騙專線 165。请保留钓鱼邮件、链接、对方地址和转账记录作为证据。需要说明的是，加密资产一旦被盗通常无法追回，举报主要用于止损、留证和帮助他人，预防才是关键。
6. 提醒同样持有硬件钱包的家人朋友，约定一条规则。约定一条简单到不会忘的铁律：助记词永远只在硬件设备本身上输入，任何邮件或网页索要助记词一律是骗子。

如果你身边有人刚开始接触硬件钱包，今天就把那条铁律讲给他们听：助记词只在你的硬件设备上输入，任何邮件、网页或客服索要都是骗子。我们的 助记词被盗后该怎么办 指南详细讲了被盗后第一时间的补救步骤，《被骗了，现在该怎么办》 则覆盖了更广的应急处置流程。

常见问题

这封 Trezor 邮件是真的吗？

如果邮件以任何方式要你输入助记词（恢复种子），或把你引到一个非 trezor.io 的页面去「更新固件」「迁移钱包」「验证身份」，那它是假的，是钓鱼。真正的 Trezor 绝不会通过邮件索取助记词。判断真假最快的办法不是看排版多精美，而是看它有没有索要那 12 或 24 个单词，以及链接是不是真的指向 trezor.io。任何疑问，手动在地址栏输入 trezor.io 自行核对，不要点邮件里的链接。

Trezor 会通过邮件或网页要我的助记词吗？

绝对不会。这是整篇文章最重要的一条。真正的 Trezor，以及任何一款正规硬件钱包，都不会在邮件、网站、客服或弹窗里要你输入助记词。助记词只有一种正确的输入场合：在你自己的 Trezor 硬件设备本身上，按它屏幕提示输入。任何屏幕上的输入框让你打字填助记词，无论打着什么旗号，都是骗局。

我已经在一个假页面输入了助记词，现在怎么办？

把那组助记词视为已永久失守，立刻行动。用一台干净设备、生成一组全新助记词的全新钱包，尽快把仍留在原钱包里、还没被转走的资产转出，与骗子抢时间。永远不要再使用那组旧助记词，也不要把新资产转回原钱包。随后在中国大陆拨 110 和 96110、或用国家反诈中心 App 举报，香港拨 18222，台湾拨 165，并保留证据。要清楚一点：被盗的加密资产通常无法追回，所以速度和此后不再复用助记词最为关键。

固件更新到底该怎么做才安全？

真正的 Trezor 固件更新只在官方 Trezor Suite 应用里进行，而且需要把设备用数据线插到电脑上，按设备屏幕的提示确认，整个过程绝不会要你输入助记词。它绝不会通过邮件链接里的某个网页完成。如果一封邮件让你点链接去网页「更新固件」，或在更新中索要助记词，那就是钓鱼。要更新，请自己打开从 trezor.io 下载的官方 Trezor Suite。

骗子怎么知道我用 Trezor、还知道我的邮箱？

多数情况下他们并不真的知道你用不用 Trezor，而是广撒网。邮箱地址往往来自各类数据泄露名单、加密社区注册信息或公开论坛。历史上，2022 年 Trezor 的一家第三方邮件营销服务发生过数据泄露，导致一批用户邮箱被用于钓鱼。但请记住，泄露的是邮箱，不是助记词，只要你不在假页面输入助记词，资金就是安全的。哪怕你从没买过 Trezor，也可能收到这类邮件。

真正的 Trezor 官方网站是哪个？

Trezor 唯一的官方域名是 trezor.io，Trezor Suite 的官方网页版在 suite.trezor.io。任何带「trezor」字样却不是这两个域名的页面，例如带连字符的 trezor-suite-wallet、trezor-firmware-update，或挂在免费托管子域名上的「trezor」页面，都不是官方，应高度怀疑。访问时请手动在地址栏输入 trezor.io，不要通过邮件、搜索广告或社交媒体链接进入。

输入助记词之前我该怎么检查链接？

在你输入任何助记词之前，把邮件里的链接粘进一个免费的网址检测工具。真正的 Trezor 跑在 trezor.io 自己已验证的官方域名上，固件更新只在官方 Trezor Suite 应用里完成，绝不会在网页上让你填助记词。一个带「trezor」却是连字符域名或免费托管子域名的「更新/迁移/验证」页面，或一个几天前才注册的域名，是重大危险信号。SafeBrowz 会在本地、API 和 AI 内容三层之间扫描该链接，几秒钟给出结论。

我该如何举报这种骗局？

在中国大陆，拨 110 报警并拨 96110 全国反诈专线，或用国家反诈中心 App 一键举报；把诈骗邮件和链接转发到 12321 举报。在香港拨防騙易 18222，紧急情况拨 999；在台湾拨反詐騙專線 165。请附上钓鱼页网址、对方的邮箱或来电、收到的邮件截图，以及任何链上转账记录。请注意，加密资产被盗通常无法追回，举报主要用于止损、留证与帮助他人，预防才是关键。

免费安装 SafeBrowz

添加这款浏览器扩展，它会扫描每一个链接，包括邮件里那个让你「更新固件、迁移钱包、验证助记词」的页面，在页面渲染之前完成。永久免费。

添加到 Chrome 添加到 Firefox 添加到 Edge