Пользователи MetaMask столкнулись с новой фишинговой схемой 2FA, сообщает SlowMist

• Злоумышленники подделывают уведомления MetaMask и создают фальшивые страницы 2FA для кражи Мнемонического слова.
• Домен Mertamask использует тактику опечаток и срочности для обмана пользователей.

Новая волна фишинговых атак снова нацелена на пользователей MetaMask, на этот раз с более отточенной и скоординированной схемой. Директор по информационной безопасности (CISO) SlowMist поднял тревогу по поводу новой мошеннической схемы, замаскированной под "верификацию 2FA", которая выглядит гораздо более легитимной, чем предыдущие атаки.

Этот метод имитирует официальный процесс безопасности и направляет жертв на поддельные веб-сайты, одним из которых является "Mertamask". Именно здесь многие пользователи оказываются неподготовленными, поскольку интерфейс и сюжет выглядят так, будто исходят из собственной системы MetaMask.

Схема обычно начинается с поддельного уведомления о безопасности, отправленного по электронной почте, предупреждающего о подозрительной активности в кошельке пользователя. Сообщение не теряет времени, призывая получателя немедленно "подтвердить". Однако вместо перехода на официальную страницу пользователи перенаправляются на намеренно похожий домен Mertamask.

Небольшие изменения в написании легко упустить, особенно когда срочное предупреждение вводит человека в панику. После того как они переходят по ссылке, жертвы попадают на поддельную страницу 2FA, оснащенную обратным отсчетом, призванным усилить давление.

Пользователи MetaMask обмануты и передают фразы восстановления

На поддельной странице пользователей просят выполнить, казалось бы, логичные шаги. Однако на заключительном этапе сайт запрашивает фразу восстановления или Мнемоническое слово. Именно в этом заключается суть мошенничества. MetaMask никогда не запрашивает Мнемоническое слово для верификации, обновлений или любых других целей безопасности. После ввода фразы контроль над кошельком немедленно передается.

Более того, процесс опустошения активов обычно происходит быстро и незаметно, и жертвы осознают это только после того, как их балансы резко сокращаются.

Интересно, что этот подход знаменует собой изменение в фокусе мошенников. Хотя ранее многие атаки полагались на случайные сообщения или поверхностные визуальные эффекты, теперь визуальные эффекты и процесс стали гораздо более убедительными.

Кроме того, психологическое давление стало основным оружием. Угрожающие нарративы, временные ограничения и профессиональный внешний вид в совокупности заставляют пользователей MetaMask действовать рефлекторно, а не рационально.

Подписи вредоносных контрактов обеспечивают незаметную кражу активов

Эта поддельная схема 2FA возникла на фоне всплеска других фишинговых атак, также нацеленных на экосистему EVM. Недавно сотни кошельков EVM, в основном пользователи MetaMask, стали жертвами мошеннических электронных писем, утверждающих об "обязательном обновлении".

В этих случаях жертв не просили предоставить Мнемоническое слово, а вместо этого заманивали подписать вредоносный контракт. Более 107 000 $ было украдено небольшими суммами из каждого кошелька — стратегия, которая затрудняет индивидуальное обнаружение кражи. Эта модель использует скорость подписей транзакций, в отличие от прямой кражи Мнемонического слова.

С другой стороны, 9 декабря мы сообщили, что MetaMask расширил кросс-чейн обмены через свою мультичейн-маршрутизационную инфраструктуру Rango. То, что началось с EVM и Solana, теперь расширилось до Bitcoin, предоставляя пользователям еще более широкий кросс-чейн охват.

Несколькими днями ранее, 5 декабря, мы также отметили прямую интеграцию Polymarket в MetaMask Mobile, что позволяет пользователям участвовать в рынках прогнозов, не покидая приложение, и зарабатывать MetaMask Rewards.

Также в конце ноября мы рассказали о функции торговли бессрочными акциями в MetaMask Mobile, которая открывает доступ к длинным и коротким позициям по различным глобальным активам с опциями кредитного плеча.