MetaMask 用户遭受攻击:虚假2FA诈骗在数秒内清空钱包
内容摘要
MetaMask 用户正遭受一种复杂的双因素认证(2FA)诈骗的攻击,该诈骗导致钱包被迅速清空。SlowMist 标记了这次攻击,其中涉及的网络钓鱼邮件或社交媒体链接会将受害者引向模仿官方 MetaMask 界面的虚假网站,这些网站通常使用域名拼写错误(typosquatting)。这些网站制造虚假紧迫感,有时使用倒计时器,以“2FA 验证”为名义,迫使用户输入其12或24个单词的助记词。一旦提交,攻击者立即获得控制权并可以转移所有资产。MetaMask 本身并不存在漏洞;该攻击完全依赖于社会工程学。为避免此类诈骗,用户绝不应泄露助记词,应手动输入网址而非点击链接,并对任何要求立即采取安全措施的未经请求的通信保持警惕。
(来源:CCN)