Utilizatorii MetaMask se confruntă cu o nouă înșelătorie de phishing 2FA, anunță SlowMist

• Atacatorii falsifică alertele MetaMask și pagini 2FA false pentru a fura frazele seed.
• Domeniul Mertamask folosește typosquatting și tactici de urgență pentru a păcăli utilizatorii.

Un val nou de tentative de phishing se îndreaptă din nou către utilizatorii MetaMask, de această dată cu o configurație mai rafinată și coordonată. Directorul de Securitate Informațională (CISO) al SlowMist a dat alarma cu privire la o nouă înșelătorie prezentată ca o „verificare 2FA", construită să pară mult mai legitimă decât atacurile anterioare.

Această metodă imită fluxul oficial de securitate și redirecționează victimele către site-uri web false, unul dintre acestea fiind „Mertamask". Aici mulți utilizatori sunt luați prin surprindere, deoarece interfața și narațiunea par să provină din propriul sistem MetaMask.

Schema începe de obicei cu o notificare de securitate falsă trimisă prin email, avertizând despre activitate suspectă în portofelul unui utilizator. Mesajul nu pierde timp, îndemnând destinatarul să „verifice" imediat. Cu toate acestea, în loc să meargă la pagina oficială, utilizatorii sunt redirecționați către un domeniu Mertamask deliberat similar.

Schimbările mici în litere sunt ușor de ratat, în special când un avertisment urgent împinge pe cineva în mod panică. Odată ce dau click, victimele ajung pe o pagină 2FA falsă echipată cu o numărătoare inversă menită să crească presiunea.

Utilizatorii MetaMask păcăliți să ofere frazele de recuperare

Pe pagina falsă, utilizatorii sunt rugați să urmeze pași aparent logici. Cu toate acestea, în etapa finală, site-ul solicită o frază de recuperare sau seed phrase. Aici se află miezul înșelătoriei. MetaMask nu solicită niciodată o seed phrase pentru verificare, actualizări sau orice alte motive de securitate. Odată ce fraza este introdusă, controlul portofelului este transferat imediat.

Nu doar atât, procesul de golire a activelor este de obicei rapid și silențios, victimele realizând doar după ce soldurile lor au fost reduse drastic.

Interesant, această abordare marchează o schimbare în focusul fraudatorilor. În timp ce anterior multe atacuri se bazau pe mesaje aleatorii sau elemente vizuale superficiale, acum elementele vizuale și fluxul sunt mult mai convingătoare.

Mai mult, presiunea psihologică a devenit o armă principală. Narațiunile de amenințare, limitele de timp și o aparență profesională se combină pentru a face utilizatorii MetaMask să acționeze reflexiv, mai degrabă decât rațional.

Semnăturile de contracte malițioase permit furtul silențios de active

Această schemă 2FA falsă a apărut pe fondul unei creșteri a altor atacuri de phishing care vizează și ecosistemul EVM. Recent, sute de portofele EVM, în principal utilizatori MetaMask, au căzut victime ale emailurilor frauduloase care pretindeau o „actualizare obligatorie".

În aceste cazuri, victimele nu au fost solicitate pentru seed phrase-ul lor, ci au fost ademenite să semneze un contract malițios. Peste 107.000 $ au fost furați în sume mici din fiecare portofel, o strategie care face ca furtul să fie greu de detectat individual. Acest model exploatează viteza semnăturilor de tranzacții, spre deosebire de furtul direct al seed phrase.

Pe de altă parte, pe 9 decembrie, am raportat că MetaMask și-a extins schimburile cross-chain prin infrastructura sa de rutare multi-chain Rango. Ceea ce a început cu EVM și Solana s-a extins acum la Bitcoin, oferind utilizatorilor o acoperire cross-chain și mai largă.

Cu câteva zile mai devreme, pe 5 decembrie, am evidențiat de asemenea integrarea directă a Polymarket în MetaMask Mobile, permițând utilizatorilor să participe la piețele de predicții fără a părăsi aplicația și să câștige MetaMask Rewards.

De asemenea, la sfârșitul lunii noiembrie, am acoperit funcția de tranzacționare perpetuă a acțiunilor on-chain în MetaMask Mobile, care deschide accesul la poziții long și short pe o varietate de active globale cu opțiuni de levier.