MetaMask 用户成为假冒双重认证安全验证骗局的目标

加密货币钱包 MetaMask 宣布其用户成为 2FA 安全验证钓鱼骗局的受害者,敦促用户保持警惕。该虚假电子邮件要求 MetaMask 用户在 2026 年 1 月 4 日之前更新其 2FA 安全验证凭证,否则将限制访问钱包的关键功能。 

区块链安全公司慢雾的合伙人兼首席信息安全官 23pds 是最早于 1 月 5 日在社交媒体上发布此钓鱼通知的行业意见领袖之一。该安全研究人员还提醒 MetaMask 用户在处理来自该加密钱包公司的电子邮件时保持警惕。

冒充 MetaMask 安全页面的骗子试图诱骗用户完成双因素身份验证流程,实际目的是窃取他们的助记词。该骗局流程包括创建和发送虚假安全警报页面、2FA 验证界面和倒计时提示的链接,最终要求用户输入其钱包的助记词。 

Meskauskas 解释如何避免 MetaMask 2FA 骗局 

恶意软件研究员和互联网安全专业人士 Tomas Meskauskas 在一个多月前发布了一篇文章,解释如何避免 2FA 激活电子邮件钓鱼骗局。该报告敦促 MetaMask 始终检查和验证发件人的电子邮件地址以及其他细节。特别是,用户被警告不要盲目信任看似合法公司发来的电子邮件。

去年,澳大利亚网络安全服务提供商 MailGuard 识别并拦截了一封钓鱼电子邮件,声称检测到 MetaMask 用户账户上的异常活动。该电子邮件还要求收件人立即激活其 2FA 身份验证,以防止其账户被临时停用。  

MailGuard 警告说,骗子只需一封措辞巧妙的电子邮件就能窃取用户的敏感数据或传播恶意软件附件和链接。该计算机安全公司建议所有收到此类来自 MetaMask 电子邮件的收件人立即删除它们,以保护其加密资产。

自 2022 年 Apple 云存储安全漏洞以来,MetaMask 经历了多次类似攻击,当时社交媒体上出现了资金被盗的报告。这个由 ConsenSys 支持的加密钱包披露,被盗的数字资产包括价值 132.86 ETH(约 402,980 美元)的 NFT 和价值超过 250,000 美元的 APE(Apecoin),总损失超过 650,000 美元。  

MetaMask 需要主动的反钓鱼措施

区块链安全公司 Halborn 的网络安全团队此前敦促 MetaMask 和其他加密货币相关公司主动建立管理钓鱼攻击的流程。根据 Halborn 的说法,此类加密货币公司必须制定这些流程,因为没有人能检测到每一封钓鱼电子邮件。 

该区块链安全公司进一步表示,在识别到针对用户的钓鱼攻击后,MetaMask 和类似公司立即启动事件响应以最小化潜在损害也很重要。它还指出,拥有专业的事件响应团队随时待命可以在重大攻击和非事件之间产生显著差异。 

与此同时,Halborn 网络安全团队敦促 MetaMask 用户养成始终通过官方平台激活其 2FA 或 MFA 并保持更新的习惯。它还指出,电子邮件安全系统可以帮助检测和阻止潜在的钓鱼攻击,使用多因素身份验证可以最大限度地减少凭证被盗用的影响。 

MetaMask 支持团队还建议用户,即使钱包连接到其 Google 或 Apple 账户,公司也不会发送随机确认电子邮件。该团队还澄清,公司从不要求用户提供其 Apple 或 Google 账户详细信息。 

MetaMask 还强调,除非通过支持团队提出特殊请求,否则不会也不能主动与用户进行电子邮件通信。它明确表示,无论在何种情况下,都不会要求用户提供秘密恢复短语。

最聪明的加密货币人士已经在阅读我们的新闻通讯。想加入吗?加入他们。