Halborn, firma zajmująca się bezpieczeństwem blockchain z siedzibą w Miami na Florydzie, niedawno ujawniła i wydała zestaw ostrzeżeń i wytycznych, aby złagodzić to, co zidentyfikowali jako nową kampanię phishingową, która była wymierzona konkretnie w użytkowników MetaMask.
Świeżo po rundzie finansowania serii A o wartości 90 milionów dolarów Halborn zapewnia infrastrukturę bezpieczeństwa blockchain i analizy dla firm kryptograficznych i Web3. Według raportu firmy Halborn, aktywna kampania phishingowa wykorzystywała wiadomości e-mail i wysyłała te złośliwe wiadomości do wielu obecnych i aktywnych użytkowników MetaMask za pomocą socjotechniki, rodzaju wektora ataku, który nakłania ludzi do rezygnacji z poufnych informacji lub dostępu do systemów. Kampania wykorzystuje fałszywą wersję rozszerzenia MetaMask w celu kradzieży kluczy prywatnych, fraz mnemonicznych i innych wrażliwych danych użytkownika.
MetaMask współpracował już wcześniej z Halborn, a sprawa została rozwiązana w czerwcu po uprzednim powiadomieniu dotyczącym bezpieczeństwa przez Halborn, w którym zidentyfikowano prywatne klucze użytkownika MetaMask znalezione na niezaszyfrowanym dysku. Odpowiedzią na raport bezpieczeństwa była poprawka od MetaMask dla wersji 10.11.3. Poprzednie iteracje nowego złośliwego oprogramowania zostały również wykryte pod koniec lipca. To złośliwe oprogramowanie, zwane Luca Stealer, zostało napisane w języku Rust i atakowało infrastrukturę Web3. Mars Stealer, kolejne złośliwe oprogramowanie, które specjalnie atakowało MetaMask, zostało również wykryte wcześniej w lutym.
Halborna odkryty że kampania phishingowa była aktywna po analizie fałszywych wiadomości e-mail otrzymanych w lipcu tego roku. E-maile wydawały się autentyczne z brandingiem i logo MetaMask, prosząc użytkowników o przestrzeganie procedur Poznaj swojego klienta (KYC) i weryfikację swoich portfeli. Odnotowano również błędy, takie jak pisownia i oczywiście fałszywe adresy e-mail, a fałszywa domena nawet przedostała się przez e-maile.
Obecne zabezpieczenia wiadomości e-mail często mają algorytmy filtrowania spamu i wykrywania phishingu, ale można je wykorzystać do inżynierii wstecznej, tworząc fałszywe tożsamości i oznaczając domeny nazwami o podobnym brzmieniu lub pisowni. Ponieważ te wiadomości e-mail były w stanie ominąć standardowe środki bezpieczeństwa, prawdopodobnie cyberprzestępcy stojący za tą kampanią mają bardziej wyrafinowane zrozumienie socjotechniki.
Ataki zostały przeprowadzone za pomocą odsyłaczy w wiadomościach e-mail, które przekierowywały nieostrożnych użytkowników na fałszywą stronę logowania MetaMask. Według Halborna te fałszywe strony bezpośrednio prosiły użytkowników o podanie ich początkowych fraz, dając tym samym cyberprzestępcom nieautoryzowany dostęp do portfela użytkownika.
Oszustwa phishingowe i inne rodzaje włamań rozprzestrzeniły się w przestrzeni kryptograficznej w ciągu ostatnich kilku lat, a celem jest wiele głośnych protokołów DeFi, giełd i portfeli. Inną cechą charakterystyczną oszustw phishingowych, według Halborna, jest brak personalizacji w wiadomości, co oznacza, że odbiorca nie jest nazywany jego rzeczywistym zarejestrowanym imieniem i nazwiskiem. Złośliwe linki są często również ujawniane przez przeglądarkę na komputerze stacjonarnym, najeżdżając kursorem na przycisk wezwania do działania. Halborn poradził wszystkim użytkownikom MetaMask, aby zachowywali szczególną czujność podczas klikania linków w wiadomościach e-mail, nawet jeśli wydają się one pochodzić z zaufanego źródła.
Zastrzeżenie: ten artykuł służy wyłącznie do celów informacyjnych. Nie jest oferowana ani przeznaczona do wykorzystania jako porady prawne, podatkowe, inwestycyjne, finansowe lub inne.
Źródło: https://cryptodaily.co.uk/2022/08/theres-a-new-metamask-phishing-campaign-heres-how-you-can-avoid-getting-hacked