Metamask用户正遭受新一波网络钓鱼诈骗的攻击,这些诈骗模仿官方安全更新,并利用人们对钱包安全日益增强的意识。由于这些诈骗手法精巧、技术上看似合理且极具说服力,因此尤其危险。
攻击的第一步通常是发送一封声称来自Metamask支持团队的电子邮件,提醒用户即将启用双因素身份验证 (2FA)。邮件采用品牌标识,设定截止日期以促使用户立即采取行动,并且看起来非常专业。这种紧迫感旨在降低用户停下来确认邮件内容的可能性。
棘手之处就在这里
通过邮件中的链接无法访问 MetaMask 的官方域名。它指向的是一个几乎完全相同的域名,例如 matamask 或 mertamask。尤其是在移动设备上,这些细微的拼写错误很容易被忽略。点击链接后,用户会被引导到一个设计精良的网站,该网站模仿了 MetaMask 的布局,并且为了增强其可信度,还集成了 Cloudflare 安全防护。
复杂的诈骗手法
这种骗局之所以成功,是因为它逼真而非技术复杂。它模仿了实际的安全程序,并使用了用户熟悉的术语,例如安全加密和身份验证等说法。
用户应牢记以下几条关键准则以确保安全: Metamask从不要求提供助记词,所有与钱包相关的任务都在官方扩展程序或应用程序内完成,并且不会通过电子邮件强制执行安全更新。
