收到一封自称"Ledger / Trezor 官方信"该怎么办?拆解 2026 邮寄实物钓鱼
去年底开始,我陆续收到读者拍照发来的实体信件。封口处印着 Ledger 的浅蓝盾形 logo,纸张是欧洲常见的 100g 哑光铜版,里面是一张多色印刷的"安全公告",要求你扫描信里附的二维码、下载"新版升级工具"、输入"现有恢复短语"以完成"账户校验"。这些信件从法国、捷克、爱沙尼亚的邮政编号寄出,盖章、邮票、防伪水印都极度逼真。它们出现的根本原因是:2020 年 Ledger 那次客户数据泄漏,把约 27 万名买家的真实姓名和家庭住址永久泄漏到了互联网上,攻击者现在终于熬到了"把这批名单变现"的最佳窗口期。
一、为什么实体信件成了 2026 年的新攻击路径
我把过去半年读者发给我的样本归纳了一下,攻击者选择"寄实体信"而不是发邮件,主要押三件事:
- 绕过邮件过滤。Gmail、Outlook 的反钓鱼模型对 Ledger / Trezor 关键词早就训练得很灵敏,邮件几乎进不了收件箱;纸质信完全脱离这套防御。
- 借用现实世界的信任感。绝大多数人这一辈子收到过的真正"官方信",几乎都是真的。银行账单、税务通知、政府机构、保险公司——纸质邮件携带的合法性预设极强。
- 针对的是非技术伴侣或家人。很多硬件钱包持有者本人懂安全,但他们的配偶、父母、室友拆信时会顺手按指示操作。
下面这张小表把传统邮件钓鱼和新型实物信件钓鱼并列对比:
| 维度 | 邮件钓鱼 | 实体信件钓鱼 |
|---|---|---|
| 抵达率 | 受反钓鱼模型拦截 | 几乎 100% 抵达 |
| 信任感 | 收件人天然警惕 | 收件人天然信任 |
| 攻击成本 | 几乎为零 | 单封 2-5 美元 |
| 命中预期 | 大面积撒网 | 精准、转化率更高 |
攻击者愿意付每封 2-5 美元的邮费,是因为名单上的人确认持有硬件钱包,攻击转化率比群发邮件高数十倍。
二、识别一封假"召回信"的七个线索
我把读者寄来的样本上能看到的共性特征整理成下面这份清单。命中两条以上,基本可以判定假。
- 信件要求你扫码下载一个新版本工具。Ledger Live、Trezor Suite 真正的更新一律通过官方网站或 App 内推送,绝不会让你扫二维码。
- 信件中出现"输入恢复短语 / 助记词 / 12-24 个单词"这类要求。任何场景让你提供完整助记词的,都是骗局。
- 信件附了一个"新硬件设备"或"赠送的备份卡",里面写好了一组助记词让你用。真正的硬件钱包永远在用户首次开机时由设备本身随机生成助记词。
- 信件提到一个紧迫期限,比如"未在 14 天内升级账户将冻结"。
- 寄件地址国别奇怪,邮政编码与发件公司声称的总部地址不符。
- 二维码扫开后是一个新注册不久的域名,或者是 IPFS、Tor 链接。
- 信件中没有任何关于"我们绝不会问助记词"的标准合规提示——而真正的厂商现在都会主动反复声明这一点。
三、如果你已经扫了码、装了软件,请按这个顺序止损
这是一份"假设最坏情况"的处理流程。
- 立刻断网。把电脑或手机的 Wi-Fi 关掉,避免对方还在远程操作。
- 绝对不要再连旧硬件钱包。任何"补救流程"都先停。
- 找一台干净的设备,用你预先准备好的另一组助记词或者新硬件钱包,开一个全新地址。
- 从旧地址把所有资产转出到新地址。哪怕假软件已经在偷偷监听,转账只要在第三方设备发起,Drainer 一时来不及反应。
- 彻底清除老设备:重装系统,硬件钱包恢复出厂。
- 审计这一阶段所有授权。可对照我写过的 钱包安全自查指南。
- 重新部署备份,参考 硬件钱包种子备份方法。
如果你只是收到信但还没动手扫码,请把整封信连同信封拍照保存,再去厂商官网搜索"phishing report",提交样本,对其他用户都是一份帮助。
四、家庭层面要做的三件事
实物信件钓鱼真正可怕的地方在于它不挑技术水平。家庭里最容易掉坑的,往往不是钱包持有人本人。下面这三件事请尽快和家人沟通:
- 在家门口的信箱旁贴一张便条:所有自称交易所或硬件钱包厂商寄来的纸质信,先拍照发我,不要按里面任何说明操作。
- 让家人记住一条铁律:助记词只能写在纸上、刻在金属板上、放在保险柜里,永远不通过任何屏幕、键盘、二维码"验证"。延伸阅读 常见硬件钱包钓鱼向量。
- 如果你曾经在 2020 年前后从 Ledger 官方购买过硬件钱包,请默认你的家庭住址已经在攻击者名单里,把日常安全等级直接拉到最高。
五、为什么"高仿物理感"是 2026 攻击者的新武器
技术圈这两年讨论最多的是 AI 仿冒视频、签名钓鱼、跨链 Drainer。但骗子的真正聪明之处在于:他们意识到这些都被讨论得太多,普通用户警惕性已经升高,于是他们绕开屏幕,回到纸张这种你以为最古老最安全的载体。Bitdefender 的 2026 年 Q1 报告指出,针对加密资产持有者的实物邮件钓鱼样本在过去六个月增加了 9.4 倍。这是一个非常清晰的信号——攻击成本最低、防御成本最高的那一类场景,永远会被骗子最快摸到。
六、把这一封信变成一次完整演练
每一封假信都是一次现实里的红蓝对抗演练。你可以借这个机会把家里所有的安全约定全部复盘一次:助记词在哪、备份是否完整、家人是否知道遇到这种信先问谁、钱包资产是否还在你能掌握的地址下。把这次的演练做完,下次哪怕信件再逼真、纸张再厚、印章再精致,你都能在拆封前就把它定性为"营销垃圾",扔进碎纸机。
骗子赌你慌。你不慌,他们就赢不了。
本文仅作科普,不构成投资建议。加密资产波动大、风险高——永远只投入你亏得起的钱。