Użytkownicy MetaMask narażeni na nowe oszustwo phishingowe 2FA, ostrzega SlowMist

• Atakujący podszywają się pod powiadomienia MetaMask i fałszywe strony 2FA, aby wykraść frazy seed.
• Domena Mertamask wykorzystuje typosquatting i taktyki wywołujące pilność, aby oszukać użytkowników.

Nowa fala prób phishingowych powraca do użytkowników MetaMask, tym razem z bardziej dopracowaną i skoordynowaną konfiguracją. Dyrektor ds. Bezpieczeństwa Informacji (CISO) SlowMist ostrzegł przed nowym oszustwem przedstawionym jako „weryfikacja 2FA", stworzonym tak, aby wyglądać znacznie bardziej legalnie niż wcześniejsze ataki.

Ta metoda naśladuje oficjalny proces bezpieczeństwa i kieruje ofiary na fałszywe strony internetowe, z których jedną jest „Mertamask". To tutaj wielu użytkowników staje się nieprzygotowanych, ponieważ interfejs i narracja wydają się pochodzić z własnego systemu MetaMask.

Schemat zwykle zaczyna się od fałszywego powiadomienia o bezpieczeństwie wysłanego e-mailem, ostrzegającego o podejrzanej aktywności w portfelu użytkownika. Wiadomość nie traci czasu, wzywając odbiorcę do natychmiastowej „weryfikacji". Jednak zamiast przejść na oficjalną stronę, użytkownicy są przekierowywani do celowo podobnej domeny Mertamask.

Niewielkie zmiany w literach są łatwe do przeoczenia, szczególnie gdy pilne ostrzeżenie wprowadza kogoś w tryb paniki. Po kliknięciu ofiary trafiają na fałszywą stronę 2FA wyposażoną w odliczanie mające zwiększyć presję.

Użytkownicy MetaMask oszukani w celu wydania fraz odzyskiwania

Na fałszywej stronie użytkownicy są proszeni o wykonanie pozornie logicznych kroków. Jednak na końcowym etapie witryna prosi o frazę odzyskiwania lub frazę seed. To tutaj leży sedno oszustwa. MetaMask nigdy nie prosi o frazę seed w celu weryfikacji, aktualizacji ani z żadnych innych powodów bezpieczeństwa. Po wprowadzeniu frazy kontrola nad portfelem jest natychmiast przekazywana.

Co więcej, proces drenowania aktywów jest zwykle szybki i cichy, a ofiary zdają sobie z tego sprawę dopiero po drastycznym zmniejszeniu sald.

Co ciekawe, to podejście oznacza zmianę w skupieniu oszustów. Podczas gdy wcześniej wiele ataków polegało na przypadkowych wiadomościach lub powierzchownych wizualizacjach, teraz wizualizacje i przepływ są znacznie bardziej przekonujące.

Ponadto presja psychologiczna stała się główną bronią. Narracje zagrożeń, limity czasowe i profesjonalny wygląd łączą się, aby sprawić, że użytkownicy MetaMask działają odruchowo, a nie racjonalnie.

Złośliwe podpisy kontraktów umożliwiają cichą kradzież aktywów

Ten fałszywy schemat 2FA pojawił się w obliczu wzrostu innych ataków phishingowych również ukierunkowanych na ekosystem EVM. Niedawno setki portfeli EVM, głównie użytkowników MetaMask, padły ofiarą oszukańczych e-maili twierdzących o „obowiązkowej aktualizacji".

W tych przypadkach ofiary nie były proszone o frazę seed, ale zamiast tego zostały zwabione do podpisania złośliwego kontraktu. Ponad 107 000 USD zostało skradzionych w małych kwotach z każdego portfela, strategia, która sprawia, że kradzież jest trudna do wykrycia indywidualnie. Ten wzorzec wykorzystuje szybkość podpisów transakcji, w przeciwieństwie do bezpośredniej kradzieży frazy seed.

Z drugiej strony, 9 grudnia poinformowaliśmy, że MetaMask rozszerzyło wymiany międzyłańcuchowe poprzez swoją infrastrukturę routingu wielołańcuchowego Rango. To, co zaczęło się od EVM i Solana, teraz rozszerzyło się na Bitcoin, dając użytkownikom jeszcze szerszy zasięg międzyłańcuchowy.

Kilka dni wcześniej, 5 grudnia, podkreśliliśmy również bezpośrednią integrację Polymarket do MetaMask Mobile, umożliwiając użytkownikom uczestnictwo w rynkach predykcyjnych bez opuszczania aplikacji i zdobywanie MetaMask Rewards.

Również pod koniec listopada omówiliśmy funkcję handlu perpetual equity on-chain w MetaMask Mobile, która otwiera dostęp do pozycji długich i krótkich na różnych globalnych aktywach z opcjami dźwigni.