MetaMask-gebruikers geconfronteerd met nieuwe 2FA-phishingzwendel, zegt SlowMist

• Aanvallers vervalsen MetaMask-meldingen en nep-2FA-pagina's om seed phrases te stelen.
• Het Mertamask-domein maakt gebruik van typosquatting en urgentietactieken om gebruikers te misleiden.

Een nieuwe golf van phishing-pogingen richt zich opnieuw op MetaMask-gebruikers, ditmaal met een meer verfijnde en gecoördineerde aanpak. De Chief Information Security Officer (CISO) van SlowMist heeft alarm geslagen over een nieuwe oplichting die wordt gepresenteerd als een "2FA-verificatie," ontworpen om er veel legitimiemer uit te zien dan eerdere aanvallen.

Deze methode bootst de officiële beveiligingsflow na en leidt slachtoffers naar nepwebsites, waarvan één "Mertamask" is. Dit is waar veel gebruikers onvoorbereid worden, aangezien de interface en het verhaal afkomstig lijken te zijn van MetaMask's eigen systeem.

De opzet begint meestal met een valse beveiligingsmelding die per e-mail wordt verzonden, met een waarschuwing voor verdachte activiteit in de wallet van een gebruiker. Het bericht verspilt geen tijd en dringt er bij de ontvanger op aan om "onmiddellijk te verifiëren." In plaats van naar de officiële pagina te gaan, worden gebruikers echter doorgestuurd naar een opzettelijk vergelijkbaar Mertamask-domein.

Kleine veranderingen in de spelling zijn gemakkelijk te missen, vooral wanneer een dringende waarschuwing iemand in paniektoestand brengt. Zodra ze doorklikken, komen slachtoffers terecht op een nep-2FA-pagina met een aftelling die de druk moet verhogen.

MetaMask-gebruikers misleid om herstelzinnen af te geven

Op de nepwebsite worden gebruikers gevraagd schijnbaar logische stappen te volgen. In de laatste fase vraagt de site echter om een herstelzin of seed phrase. Dit is waar de kern van de oplichting ligt. MetaMask vraagt nooit om een seed phrase voor verificatie, updates of andere beveiligingsredenen. Zodra de zin is ingevoerd, wordt de controle over de wallet onmiddellijk overgedragen.

Bovendien verloopt het proces van het leeghalen van activa meestal snel en stil, waarbij slachtoffers het pas beseffen nadat hun saldi drastisch zijn verminderd.

Interessant genoeg markeert deze aanpak een verschuiving in de focus van oplichters. Terwijl voorheen veel aanvallen vertrouwden op willekeurige berichten of oppervlakkige visuals, zijn de visuals en flow nu veel overtuigender.

Bovendien is psychologische druk een primair wapen geworden. Dreigende verhalen, tijdslimieten en een professionele uitstraling komen samen om MetaMask-gebruikers reflexmatig te laten handelen in plaats van rationeel.

Kwaadaardige contracthandtekeningen maken stille diefstal van activa mogelijk

Deze nep-2FA-opzet kwam naar voren te midden van een toename van andere phishing-aanvallen die ook gericht zijn op het EVM-ecosysteem. Onlangs werden honderden EVM-wallets, voornamelijk MetaMask-gebruikers, het slachtoffer van frauduleuze e-mails die een "verplichte update" claimen.

In deze gevallen werd slachtoffers niet om hun seed phrase gevraagd, maar werden ze verleid om een kwaadaardig contract te ondertekenen. Meer dan $107.000 werd in kleine bedragen van elke wallet gestolen, een strategie die de diefstal moeilijk individueel detecteerbaar maakt. Dit patroon maakt misbruik van de snelheid van transactiehandtekeningen, in tegenstelling tot directe seed phrase-diefstal.

Aan de andere kant rapporteerden we op 9 december dat MetaMask cross-chain-uitwisselingen had uitgebreid via zijn Rango multi-chain routing-infrastructuur. Wat begon met EVM en Solana is nu uitgebreid naar Bitcoin, waardoor gebruikers een nog breder cross-chain-bereik krijgen.

Een paar dagen eerder, op 5 december, benadrukten we ook de directe integratie van Polymarket in MetaMask Mobile, waardoor gebruikers kunnen deelnemen aan voorspellingsmarkten zonder de app te verlaten en MetaMask Rewards kunnen verdienen.

Ook bespraken we eind november de on-chain equity perpetual trading-functie in MetaMask Mobile, die toegang biedt tot long- en shortposities op een verscheidenheid aan wereldwijde activa met hefboomopties.