03/08/22
ИБ-компания Halborn предупредила пользователей о новой фишинговой кампании , похищающей seed-фразы владельцев криптокошельков MetaMask. Это передает Securitylab.
25 июля Halborn получила мошенническое электронное письмо якобы от MetaMask, которое «может показаться настоящим, если прочитать письмо быстро и поверхностно». При анализе письма эксперты Halborn обнаружили поддельный домен (metamaks.auction), неверный адрес электронной почты (Metamaks Support) и несвязанный сервер (unicarpentry.onmicrosoft.com).
Фишинговое письмо создает ощущение срочности, требуя от пользователя подтвердить свой кошелек до 30 августа 2022 года, чтобы продолжать пользоваться сервисом.
.png?width=504&name=content-img(252).png)
Нажав на кнопку «Подтвердить свой кошелек», пользователь перенаправляется на вредоносный сайт, который предлагает жертве ввести seed-фразу. На сайте также есть SSL-сертификат, связанный с настоящим сайтом MetaMask, что добавляет правдоподобности кампании.
Специалист по техническому образованию в Halborn Луис Любек порекомендовал пользователям сохранять бдительность при получении электронных писем. Любек посоветовал не переходить по ссылке в письме, а посетить сайт напрямую и найти целевую страницу оттуда. «Также если вложение кажется подозрительным, следует позвонить отправителю и подтвердить его, прежде чем загружать или открывать документ», — добавил Любек.
