Зростаючі ризики соціальної інженерії, викриті останньою фішинговою кампанією metamask із використанням підробленого 2FA

Нова хвиля криптовалютних шахрайств з’являється, і один із недавніх фішингових операцій з MetaMask показує, як зловмисники тепер імітують довірені засоби безпеки для крадіжки коштів.

Підготовлена підроблена кампанія двофакторної автентифікації націлена на користувачів MetaMask

Складна шахрайська схема, спрямована на користувачів MetaMask, використовує підроблені перевірки двофакторної автентифікації для збору фраз відновлення гаманця. Більше того, фішингова схема MetaMask ілюструє, наскільки швидко розвивається соціальна інженерія у крипто-сфері у 2025 році.

Дослідники безпеки повідомляють, що ця кампанія використовує переконливий багатоступінчастий процес для обману користувачів і введення їх у оману щодо введення своїх фраз-насіння. Однак, хоча загальні втрати від криптофішингу у 2025 році, за повідомленнями, суттєво знизилися, основні тактики стали більш відточеними і набагато важче виявити.

Експерти описують явний перехід від грубого, загального спаму до ретельно розробленого імітування. Зловмисники тепер поєднують знайому брендингову ідентичність, технічну точність і психологічний тиск, щоб здаватися легітимними. Однак кінцевий результат залишається незмінним: повідомлення, яке виглядає як рутина, але може дозволити повністю захопити гаманець за кілька хвилин після того, як жертва погодиться.

Як структурована ця шахрайська схема

Ця кампанія була вперше висвітлена головним офіцером з безпеки компанії SlowMist, який поділився детальним попередженням у X. За цим звітом, фішингові листи створені так, щоб нагадувати офіційні повідомлення від служби підтримки MetaMask і стверджують, що користувачам потрібно увімкнути обов’язкову двофакторну автентифікацію.

Повідомлення максимально нагадують візуальну ідентичність провайдера гаманця, використовуючи відомий логотип лиса, кольорову палітру та макет сторінки, які користувачі впізнають. Більше того, зловмисники приділяють особливу увагу типографіці та відстані між елементами, що допомагає листам проходити як справжнім при швидкому погляді.

Ключовим елементом обману є налаштування домену. У задокументованих випадках фішинговий сайт використовував підроблену веб-адресу, яка відрізнялася від справжнього домену MetaMask лише однією літерою. Це невелике відхилення, часто описується як атака підміни домену metamask, і дуже легко пропустити, особливо на маленьких екранах мобільних пристроїв або коли користувачі швидко переглядають повідомлення, відволікаючись.

Після натискання на вбудоване посилання жертва перенаправляється на сайт, який ретельно імітує оригінальний інтерфейс MetaMask. Однак, незважаючи на його відточений вигляд, це клонирований фронтенд, цілком контрольований зловмисниками.

Потік підробленої 2FA і крадіжка фрази-насіння

На фішинговому сайті користувачі проходять через те, що здається стандартною, покроковою процедурою безпеки. Кожна сторінка підсилює враження, що процес є рутиною і спрямований на захист гаманця. Більше того, дизайн використовує знайомі іконки та мову, пов’язану з легітимними перевірками безпеки.

На останньому кроці сайт просить користувачів ввести повну фразу-насіння гаманця, подану як обов’язкова умова для “завершення” налаштування двофакторної автентифікації. Це вирішальний етап шахрайства, коли проста введена інформація може передати повний контроль над гаманцем.

Фраза-насіння, також відома як фраза відновлення або мнемонічна фраза, виступає як головний ключ до некастодіального гаманця. З цією фразою зловмисник може відтворити гаманець на будь-якому сумісному пристрої, перенести всі кошти і підписати транзакції без додаткового дозволу. Навіть сильні паролі, додаткові рівні автентифікації та підтвердження на пристрої стають беззмістовними, якщо фраза відновлення скомпрометована.

З цієї причини легітимні провайдери гаманців постійно наголошують, що користувачі ніколи не повинні ділитися фразами відновлення з будь-ким, у будь-якому контексті. Більше того, жодна справжня служба підтримки або система безпеки ніколи не запитуватиме повну фразу-насіння через електронну пошту, спливаюче вікно або форму на сайті.

Чому використовується фальшива двофакторна автентифікація як приманка

Використання підробленої системи двофакторної автентифікації — це свідомий психологічний прийом. Двофакторна автентифікація широко вважається синонімом більшого захисту, що інстинктивно знижує підозру. Однак, коли цю довірену концепцію використовують неправильно, вона стає потужним інструментом обману.

Об’єднуючи знайому історію безпеки з терміновістю та професійним інтерфейсом, зловмисники створюють переконливу ілюзію безпеки. Навіть досвідчені користувачі крипто можуть бути спіймані зненацька, коли те, що здається стандартною перевіркою, насправді є фішингом фрази відновлення.

Ця операція з фішингом MetaMask також виникає на тлі оновленої активності ринку на початку 2026 року. У цей період аналітики спостерігають за енергійними ралі мем-коінів і явним зростанням участі роздрібних інвесторів. Більше того, ця нова хвиля інтересу користувачів розширює пул потенційних жертв.

Зі зростанням активності зловмисники, здається, переходять від високовольтного, низькоуспішного спаму до меншої кількості, але набагато більш вдосконалених схем. Остання кампанія, орієнтована на MetaMask, свідчить, що майбутні загрози будуть більше покладатися на довіру та якість дизайну, ніж на масштаб.

Наслідки для криптовалюної безпеки та захисту користувачів

Для користувачів MetaMask та інших некастодіальних гаманців цей випадок підкреслює кілька довгострокових принципів безпеки. По-перше, справжні оновлення безпеки не вимагають введення фрази-насіння у веб-форму. Більше того, будь-яке несподіване повідомлення, що вимагає термінових дій, слід сприймати з підозрою і перевіряти через офіційні канали.

Фахівці з безпеки радять користувачам ретельно перевіряти URL-адреси, символ за символом, перед введенням чутливої інформації, особливо коли у листі або повідомленні є вбудовані посилання. Також рекомендується зберігати закладки на офіційні домени гаманців і заходити на них лише через ці закладки, що значно зменшує ризик потрапляння на підроблені сайти.

Експерти також закликають до ширшої освіти щодо того, як працює соціальна інженерія у крипто-шахрайствах. Розуміння емоційних важелів, які часто використовуються у таких операціях, таких як терміновість, страх втрати доступу або обіцянки покращеної безпеки, може допомогти користувачам зупинитися перед дією.

Насамкінець, цей випадок показує, що традиційні засоби безпеки, включаючи саму двофакторну автентифікацію, самі по собі недостатні. Крім того, користувачам потрібно поєднувати технічні засоби захисту з чітким розумінням того, як ці інструменти мають і не мають працювати на практиці.

У підсумку, фішингова кампанія MetaMask з використанням 2FA підкреслює ширший тренд у крипто-безпеці: менше грубих атак, більше переконливих пасток. З наближенням 2025 і 2026 років, коли ринок знову активізується, постійна обережність, ретельна перевірка URL і суворе захист фраз-насіння залишаються ключовими засобами захисту від еволюціонуючих схем захоплення гаманців.