CISO của SlowMist cảnh báo một kiểu lừa đảo mới nhắm vào người dùng MetaMask, giả mạo quy trình xác minh bảo mật 2FA để dụ nạn nhân nhập cụm từ ghi nhớ và bị đánh cắp tài sản.
Trang lừa đảo dùng tên miền tương tự để chuyển hướng tới cảnh báo bảo mật giả, thêm đồng hồ đếm ngược và mục xác minh tính xác thực nhằm tăng độ tin cậy, rồi yêu cầu người dùng gửi cụm từ ghi nhớ ở bước cuối.
- Lừa đảo MetaMask giả xác minh 2FA để lấy cụm từ ghi nhớ.
- Dùng tên miền tương tự, chuyển hướng sang cảnh báo bảo mật giả.
- Nhập cụm từ ghi nhớ đồng nghĩa nguy cơ mất toàn bộ tài sản.
Kiểu lừa đảo giả 2FA trên MetaMask hoạt động thế nào?
Trang giả mạo dẫn người dùng vào quy trình xác minh 2FA và kết thúc bằng yêu cầu nhập cụm từ ghi nhớ, từ đó kẻ xấu chiếm ví và đánh cắp tài sản.
Theo cảnh báo ngày 5/1 từ 23pds (Shan Ge), Chief Information Security Officer của SlowMist, kẻ lừa đảo tạo một trang có giao diện giống cảnh báo an ninh, triển khai bước xác minh 2FA để tăng tính hợp pháp. Điểm then chốt là cơ chế chuyển hướng: người dùng bị đưa đến trang giả qua tên miền tương tự (lookalike domain).
Trang lừa đảo thường gắn các yếu tố tạo áp lực và niềm tin như đồng hồ đếm ngược và mục xác minh tính xác thực. Sau khi người dùng làm theo các bước, hệ thống yêu cầu cung cấp cụm từ ghi nhớ của ví. Khi nạn nhân nhập cụm từ này, kẻ tấn công có thể nhập/khôi phục ví ở nơi khác và rút tài sản.
Khi nào cụm từ ghi nhớ được dùng hợp lệ và cần tránh điều gì?
Cụm từ ghi nhớ chỉ nên dùng khi nhập ví lần đầu hoặc khôi phục ví; mọi yêu cầu xác minh trên website đòi cụm từ ghi nhớ đều là rủi ro cao.
SlowMist nhấn mạnh cụm từ ghi nhớ không phải dữ liệu để xác minh 2FA hay xác minh bảo mật trên web. Nếu gặp trang yêu cầu nhập cụm từ ghi nhớ để mở khóa, xác thực, nâng cấp bảo mật hoặc hoàn tất 2FA, người dùng cần coi đó là dấu hiệu lừa đảo.
Rủi ro lớn nhất nằm ở bước cuối: một khi cụm từ ghi nhớ bị lộ, quyền kiểm soát ví không còn thuộc về người dùng. Việc trang dùng tên miền tương tự và các chi tiết như đếm ngược chỉ nhằm tăng tỷ lệ nạn nhân làm theo hướng dẫn.
