Gli utenti di MetaMask sono presi di mira da una nuova ondata di phishing che imita aggiornamenti di sicurezza ufficiali e sfrutta la crescente consapevolezza sulla protezione dei wallet. Poiché queste truffe sono abilmente elaborate, tecnicamente plausibili e convincenti, risultano particolarmente pericolose.
L'attacco inizia solitamente con un'email che si spaccia per il Supporto MetaMask, avvisando gli utenti dell'imminente obbligo di autenticazione a due fattori (2FA). Il messaggio utilizza un branding adeguato, impone una scadenza per motivare un'azione rapida e appare professionale. Lo scopo di questa urgenza è ridurre la probabilità che gli utenti si fermino a verificare ciò che stanno vedendo.
Dove diventa complicato
Il dominio ufficiale di MetaMask non è accessibile tramite il link dell'email. Invece, viene utilizzata una copia quasi identica come matamask o mertamask. Soprattutto su dispositivi mobili, queste piccole variazioni ortografiche possono essere facilmente ignorate. Dopo aver cliccato, l'utente viene indirizzato a un sito web ben progettato che imita il layout di MetaMask e, per aumentare la legittimità, incorpora la sicurezza Cloudflare.
La truffa prosegue poi a fasi. Inizialmente, viene richiesta una verifica umana agli utenti. Successivamente, appaiono messaggi che confermano l'attivazione della 2FA, completi di timer per il conto alla rovescia, barre di avanzamento e indicatori rassicuranti come Security Layer Complete. Questo non ha alcun collegamento con l'infrastruttura di MetaMask. Si tratta solo di contenuti web creati appositamente per generare fiducia. Il passaggio più cruciale è l'ultimo.
Sotto l'apparenza di una verifica finale di sicurezza o validazione del checksum, il sito web richiede agli utenti di inserire la frase seed di recupero del proprio wallet. Questo è il fulcro della truffa. Nessun provider di wallet affidabile richiederebbe mai una seed phrase tramite un sito web. Gli aggressori possono svuotare completamente il wallet dopo aver inserito la frase, che viene immediatamente inoltrata a loro.
Tecnica di truffa sofisticata
Questa truffa ha successo perché è realistica, non perché sia tecnicamente complessa. Imita le reali procedure di sicurezza e utilizza una terminologia familiare agli utenti, come riferimenti a crittografia di sicurezza e autenticazione.
Gli utenti dovrebbero ricordare alcune regole fondamentali per restare al sicuro: MetaMask non chiede mai la seed phrase, tutte le operazioni relative al wallet avvengono esclusivamente tramite l'estensione o l'app ufficiale e non vengono mai imposti aggiornamenti di sicurezza tramite email.
