Người Dùng MetaMask Đối Mặt Với Trò Lừa Đảo 2FA Mới, SlowMist Cho Biết

• Kẻ tấn công giả mạo cảnh báo MetaMask và trang 2FA giả mạo để đánh cắp cụm từ khoá.
• Tên miền Mertamask sử dụng chiến thuật đánh lừa bằng cách nhập sai chính tả và tạo cảm giác cấp bách để lừa người dùng.

Một làn sóng tấn công lừa đảo mới đang nhắm vào người dùng MetaMask, lần này với thiết lập tinh vi và phối hợp hơn. Giám đốc An ninh Thông tin (CISO) của SlowMist đã đưa ra cảnh báo về một trò lừa đảo mới được ngụy trang là "xác minh 2FA", được xây dựng để trông hợp pháp hơn nhiều so với các cuộc tấn công trước đây.

Phương thức này bắt chước quy trình bảo mật chính thức và dẫn nạn nhân đến các trang web giả mạo, một trong số đó là "Mertamask". Đây là nơi nhiều người dùng trở nên mất cảnh giác, vì giao diện và câu chuyện có vẻ xuất phát từ chính hệ thống của MetaMask.

Kế hoạch thường bắt đầu bằng một thông báo bảo mật giả mạo được gửi qua Email, cảnh báo về hoạt động đáng ngờ trong ví của người dùng. Tin nhắn không mất thời gian, thúc giục người nhận "xác minh" ngay lập tức. Tuy nhiên, thay vì truy cập vào trang chính thức, người dùng bị chuyển hướng đến tên miền Mertamask có chủ ý tương tự.

Những thay đổi nhỏ trong chữ cái rất dễ bỏ qua, đặc biệt khi một cảnh báo khẩn cấp đẩy ai đó vào chế độ hoảng loạn. Khi họ nhấp vào, nạn nhân sẽ đến một trang 2FA giả mạo được trang bị đồng hồ đếm ngược nhằm tăng thêm áp lực.

Người dùng MetaMask bị lừa giao cụm từ khôi phục

Trên trang giả mạo, người dùng được yêu cầu làm theo các bước có vẻ hợp lý. Tuy nhiên, ở giai đoạn cuối cùng, trang web yêu cầu cụm từ khôi phục hoặc cụm từ khoá. Đây là nơi cốt lõi của trò lừa đảo nằm. MetaMask không bao giờ yêu cầu cụm từ khoá để xác minh, cập nhật hoặc bất kỳ lý do bảo mật nào khác. Khi cụm từ được nhập, quyền kiểm soát ví sẽ được chuyển ngay lập tức.

Không chỉ vậy, quá trình rút cạn tài sản thường nhanh chóng và im lặng, với nạn nhân chỉ nhận ra điều đó sau khi số dư của họ đã giảm đáng kể.

Thật thú vị, cách tiếp cận này đánh dấu sự thay đổi trong trọng tâm của những kẻ lừa đảo. Trong khi trước đây nhiều cuộc tấn công dựa vào tin nhắn ngẫu nhiên hoặc hình ảnh hời hợt, giờ đây hình ảnh và luồng thuyết phục hơn nhiều.

Hơn nữa, áp lực tâm lý đã trở thành vũ khí chính. Các câu chuyện đe dọa, giới hạn thời gian và vẻ ngoài chuyên nghiệp kết hợp khiến người dùng MetaMask hành động phản xạ, thay vì hợp lý.

Chữ ký hợp đồng độc hại cho phép đánh cắp tài sản im lặng

Kế hoạch 2FA giả mạo này xuất hiện giữa làn sóng gia tăng các cuộc tấn công lừa đảo khác cũng nhắm vào hệ sinh thái EVM. Gần đây, hàng trăm ví EVM, chủ yếu là người dùng MetaMask, đã trở thành nạn nhân của các Email lừa đảo tuyên bố "nâng cấp bắt buộc".

Trong những trường hợp này, nạn nhân không được yêu cầu cụm từ khoá của họ mà thay vào đó bị dụ dỗ ký một hợp đồng độc hại. Hơn 107,000 đô la đã bị đánh cắp với số lượng nhỏ từ mỗi ví, một chiến lược khiến việc trộm cắp khó phát hiện từng cá nhân. Mô hình này khai thác tốc độ của chữ ký giao dịch, trái ngược với việc đánh cắp cụm từ khoá trực tiếp.

Mặt khác, vào ngày 09/12, chúng tôi đã đưa tin rằng MetaMask đã mở rộng trao đổi cross-chain thông qua cơ sở hạ tầng định tuyến đa chuỗi Rango. Những gì bắt đầu với EVM và Solana giờ đã mở rộng sang Bitcoin, mang đến cho người dùng phạm vi tiếp cận cross-chain rộng hơn.

Vài ngày trước đó, vào ngày 05/12, chúng tôi cũng nhấn mạnh việc tích hợp trực tiếp Polymarket vào MetaMask Mobile, cho phép người dùng tham gia vào thị trường dự đoán mà không cần rời khỏi ứng dụng và kiếm MetaMask Rewards.

Ngoài ra, vào cuối tháng 11, chúng tôi đã đề cập đến tính năng giao dịch vĩnh viễn vốn chủ sở hữu trên chuỗi trong MetaMask Mobile, mở quyền truy cập vào các vị thế long và short trên nhiều tài sản toàn cầu với các tùy chọn đòn bẩy.