MetaMask 用戶成為假冒 2FA 安全驗證詐騙的目標

加密錢包 MetaMask 已宣布其用戶遭受了 2FA 安全驗證網路釣魚詐騙,敦促用戶保持警惕。該假冒電子郵件要求 MetaMask 用戶在 2026 年 1 月 4 日之前更新其 2FA 安全驗證憑證,否則將限制對關鍵錢包功能的訪問權限。 

區塊鏈安全公司 SlowMist 的合夥人兼 CISO 23pds 是最早在 1 月 5 日清晨於社交媒體上發布此網路釣魚通知的行業意見領袖之一。該安全研究人員還提醒 MetaMask 用戶在處理來自該加密錢包公司的電子郵件時保持警惕。

冒充 MetaMask 安全頁面的詐騙者試圖誘騙用戶完成雙重身份驗證過程,而實際目的是竊取他們的助記詞。詐騙過程包括創建並發送假冒安全警報頁面、2FA 驗證介面和倒數計時提示的連結,最終要求用戶輸入其錢包的助記詞。 

Meskauskas 解釋如何避免 MetaMask 2FA 詐騙 

惡意軟體研究員和網路安全專家 Tomas Meskauskas 在一個多月前發布了一篇文章,解釋如何避免 2FA 啟用電子郵件網路釣魚詐騙。該報告敦促 MetaMask 用戶始終檢查和驗證發件人的電子郵件地址以及其他細節。具體而言,用戶被警告不要盲目相信看似來自合法公司的電子郵件。

去年,澳洲網路安全服務提供商 MailGuard 識別並阻止了一封聲稱檢測到 MetaMask 用戶帳戶異常活動的網路釣魚電子郵件。該電子郵件還要求收件人立即啟用其 2FA 驗證,以防止其帳戶被暫時停用。  

MailGuard 警告,詐騙者只需要一封措辭巧妙的電子郵件就能竊取用戶的敏感數據或傳播惡意軟體附件和連結。該電腦安全公司建議所有收到此類來自 MetaMask 的電子郵件的收件人立即刪除它們,以保護其加密資產。

自 2022 年 Apple 雲端儲存安全漏洞以來,MetaMask 經歷了多次類似攻擊,當時社交媒體上出現了資金被盜的報告。這個由 ConsenSys 支持的加密錢包披露,被盜的數位資產包括價值 132.86 ETH(約 402,980 美元)的 NFT 和價值超過 250,000 美元的 APE(Apecoin),總損失超過 650,000 美元。  

MetaMask 需要主動的反網路釣魚措施

區塊鏈安全公司 Halborn 的網路安全團隊此前敦促 MetaMask 和其他加密相關公司主動建立管理網路釣魚攻擊的流程。根據 Halborn 的說法,此類加密公司必須擁有這些流程,因為沒有人能夠檢測到每一封網路釣魚電子郵件。 

該區塊鏈安全公司進一步表示,MetaMask 和類似公司在識別到針對用戶的網路釣魚攻擊後立即啟動事件應對也很重要,以盡量減少潛在損害。它還指出,擁有一個隨時待命的專業事件應對團隊可以在重大攻擊和無事件之間產生重大差異。 

同時,Halborn 網路安全團隊敦促 MetaMask 用戶養成始終通過官方平台啟用其 2FA 或 MFA 並保持更新的習慣。它還指出,電子郵件安全系統可以幫助檢測和阻止潛在的網路釣魚攻擊,而使用多重身份驗證可以最大限度地減少憑證被洩露的影響。 

MetaMask 支援團隊還告知用戶,即使他們的錢包連接到 Google 或 Apple 帳戶,該公司也絕不會發送隨機確認電子郵件。該團隊還澄清,公司從不要求其用戶提供 Apple 或 Google 帳戶詳細資訊。 

MetaMask 還強調,除非通過支援團隊提出特殊請求,否則它不會也不能主動與用戶進行電子郵件通信。它明確表示,無論在何種情況下,都不會要求用戶提供秘密恢復短語。

最聰明的加密貨幣人士已經在閱讀我們的電子報了。想加入嗎?加入他們吧。