MetaMask 用户面临新的 2FA 钓鱼诈骗,SlowMist 表示

• 攻击者伪造 MetaMask 警报和假冒 2FA 页面以窃取助记词。
• Mertamask 域名使用拼写仿冒和紧迫战术来欺骗用户。

针对 MetaMask 用户的新一波网络钓鱼攻击再度来袭,这次的设置更加精致和协调。SlowMist 的首席信息安全官 (CISO) 对一个伪装成"2FA 验证"的新骗局发出警报,其制作看起来比早期攻击更具合法性。

这种方法模仿官方安全流程,并将受害者引导至假冒网站,其中之一是"Mertamask"。这是许多用户毫无防备的地方,因为界面和叙述看起来像是来自 MetaMask 自己的系统。

该骗局通常以电子邮件发送的虚假安全通知开始,警告用户钱包中存在可疑活动。该消息立即敦促收件人"立即验证"。然而,用户不是被引导至官方页面,而是被重定向到一个故意相似的 Mertamask 域名。

字母的细微变化很容易被忽略,尤其是当紧急警告将某人推入恐慌模式时。一旦他们点击进入,受害者就会登陆一个配备倒计时的假 2FA 页面,旨在加剧压力。

MetaMask 用户被骗交出恢复短语

在假冒页面上,用户被要求遵循看似合乎逻辑的步骤。然而,在最后阶段,该网站要求提供恢复短语或助记词。这就是骗局的核心所在。MetaMask 从不会因验证、更新或任何其他安全原因要求助记词。一旦输入助记词,钱包的控制权就会立即转移。

不仅如此,资产流失过程通常迅速而无声,受害者只有在余额大幅减少后才意识到。

有趣的是,这种方法标志着诈骗者重点的转变。虽然以前许多攻击依赖随机消息或表面视觉效果,但现在视觉效果和流程更具说服力。

此外,心理压力已成为主要武器。威胁叙述、时间限制和专业外观相结合,使 MetaMask 用户反射性地行动,而不是理性地行动。

恶意合约签名实现无声资产盗窃

这个假冒 2FA 骗局是在其他针对 EVM 生态系统的网络钓鱼攻击激增期间出现的。最近,数百个 EVM 钱包,主要是 MetaMask 用户,成为声称"强制更新"的欺诈性电子邮件的受害者。

在这些情况下,受害者没有被要求提供助记词,而是被诱骗签署恶意合约。超过 107,000 美元从每个钱包中以小额方式被盗,这种策略使得单独检测盗窃变得困难。这种模式利用交易签名的速度,而不是直接盗取助记词。

另一方面,12月9日,我们报道了 MetaMask 通过其 Rango 多链路由基础设施扩展了跨链交易。从 EVM 和 Solana 开始,现已扩展到 Bitcoin,为用户提供了更广泛的跨链覆盖。

几天前的12月5日,我们还强调了 Polymarket 直接整合到 MetaMask Mobile,允许用户在不离开应用程序的情况下参与预测市场并赚取 MetaMask 奖励。

此外,在11月下旬,我们报道了 MetaMask Mobile 中的链上股权永续交易功能,该功能开放了对各种全球资产的多空头寸访问权限,并提供杠杆选项。