Les utilisateurs de MetaMask confrontés à une nouvelle arnaque par hameçonnage 2FA, selon SlowMist

• Les attaquants usurpent les alertes MetaMask et créent de fausses pages 2FA pour voler les seed phrases.
• Le domaine Mertamask utilise le typosquatting et des tactiques d'urgence pour piéger les utilisateurs.

Une nouvelle vague de tentatives d'hameçonnage cible à nouveau les utilisateurs de MetaMask, cette fois avec une configuration plus soignée et coordonnée. Le directeur de la sécurité de l'information (CISO) de SlowMist a lancé l'alerte concernant une nouvelle arnaque présentée comme une « vérification 2FA », conçue pour paraître bien plus légitime que les attaques précédentes.

Cette méthode imite le processus de sécurité officiel et dirige les victimes vers de faux sites web, dont l'un est « Mertamask ». C'est là que de nombreux utilisateurs deviennent vulnérables, car l'interface et le discours semblent provenir du propre système de MetaMask.

L'arnaque commence généralement par un faux avis de sécurité envoyé par e-mail, avertissant d'une activité suspecte dans le portefeuille d'un utilisateur. Le message ne perd pas de temps, exhortant le destinataire à « vérifier » immédiatement. Cependant, au lieu d'accéder à la page officielle, les utilisateurs sont redirigés vers un domaine Mertamask délibérément similaire.

Les petites modifications dans les lettres sont faciles à manquer, en particulier lorsqu'un avertissement urgent pousse quelqu'un en mode panique. Une fois qu'ils cliquent, les victimes atterrissent sur une fausse page 2FA équipée d'un compte à rebours destiné à intensifier la pression.

Les utilisateurs de MetaMask piégés et contraints de divulguer leurs phrases de récupération

Sur la fausse page, les utilisateurs sont invités à suivre des étapes apparemment logiques. Cependant, à l'étape finale, le site demande une phrase de récupération ou seed phrase. C'est là que réside le cœur de l'arnaque. MetaMask ne demande jamais de seed phrase pour la vérification, les mises à jour ou toute autre raison de sécurité. Une fois la phrase saisie, le contrôle du portefeuille est immédiatement transféré.

De plus, le processus de vidage des actifs est généralement rapide et silencieux, les victimes ne s'en rendant compte qu'après que leurs soldes ont été considérablement réduits.

Fait intéressant, cette approche marque un changement dans l'orientation des fraudeurs. Alors qu'auparavant de nombreuses attaques reposaient sur des messages aléatoires ou des visuels superficiels, maintenant les visuels et le processus sont beaucoup plus convaincants.

De plus, la pression psychologique est devenue une arme principale. Les récits de menace, les limites de temps et une apparence professionnelle se combinent pour faire en sorte que les utilisateurs de MetaMask agissent de manière réflexe, plutôt que rationnelle.

Les signatures de contrats malveillants permettent le vol d'actifs silencieux

Cette fausse arnaque 2FA est apparue au milieu d'une recrudescence d'autres attaques d'hameçonnage ciblant également l'écosystème EVM. Récemment, des centaines de portefeuilles EVM, principalement des utilisateurs de MetaMask, ont été victimes d'e-mails frauduleux prétendant une « mise à jour obligatoire ».

Dans ces cas, les victimes n'ont pas été invitées à fournir leur seed phrase mais ont plutôt été attirées pour signer un contrat malveillant. Plus de 107 000 $ ont été volés en petites quantités dans chaque portefeuille, une stratégie qui rend le vol difficile à détecter individuellement. Ce schéma exploite la rapidité des signatures de transaction, par opposition au vol direct de seed phrase.

D'autre part, le 9 décembre, nous avons signalé que MetaMask avait élargi les échanges cross-chain via son infrastructure de routage multi-chaînes Rango. Ce qui a commencé avec l'EVM et Solana s'est maintenant étendu à Bitcoin, offrant aux utilisateurs une portée cross-chain encore plus large.

Quelques jours plus tôt, le 5 décembre, nous avons également souligné l'intégration directe de Polymarket dans MetaMask Mobile, permettant aux utilisateurs de participer aux marchés de prédiction sans quitter l'application et de gagner des MetaMask Rewards.

De plus, fin novembre, nous avons couvert la fonctionnalité de trading perpétuel d'actions on-chain dans MetaMask Mobile, qui ouvre l'accès aux positions longues et courtes sur une variété d'actifs mondiaux avec des options de levier.