MetaMask na celowniku oszustów: jak nie dać się zwieść?

Co to jest seed phrase, w jaki sposób oszuści wykorzystują ją do kradzieży kryptoportfeli i jak chronić swoje konto w serwisie MetaMask.

Oszustwa związane z kryptowalutami istnieją od dawna. Kusząc ofiary darmowymi przelewami, bitcoinami, danymi logowania należącymi do innych osób i rzadkim sprzętem do generowania kryptowalut, cyberprzestępcy mają nadzieję, że uda im się zdobyć kryptowaluty zgromadzone na czyimś koncie. Przyjrzyjmy się kolejnemu schematowi oszustwa, które tym razem jest wymierzone we właścicieli kryptoportfeli MetaMask.

Czym jest MetaMask?

MetaMask to portfel dla łańcucha bloków Ethereum, który obsługuje wszystkie typy bazujących na nim tokenów (zarówno zwykłych, jak i niezamiennych, zwanych również NFT). Portfel występuje w postaci rozszerzenia dla przeglądarek Google Chrome, Firefox, Microsoft Edge i Brave, a także aplikacji dla systemów iOS i Android. Portfel MetaMask może być używany do dokonywania zakupów oraz tworzenia i zarabiania na treściach w zdecentralizowanej sieci.

Podobnie jak w przypadku podobnych portfeli, dostęp do niego jest zabezpieczony hasłem użytkownika utworzonym podczas rejestracji oraz wygenerowanym przez aplikację kluczem prywatnym składającym się z 64 znaków alfanumerycznych oraz tzw. seed phrase, czyli zestawu 12 (rzadziej 24) słów.

Znakomita większość właścicieli kryptoportfeli rozumie, że hasła ani klucza prywatnego nie można nikomu udostępniać, jednak osoby początkujące w tej materii często nie są tej zasady świadome. Seed phrase to zasadniczo słowne odzwierciedlenie klucza prywatnego, które umożliwia przywrócenie dostępu do konta. Innymi słowy, jeśli ktoś ją pozna, będzie mógł zalogować się na Twoje konto i zdobyć zgromadzone tam kryptowaluty. To sprawia, że mocno interesują się nią oszuści.

E-mail z groźbą zablokowania Twojego konta

Oszustwo zaczyna się od masowego wysłania wiadomości e-mail, w której wykorzystywana jest jedna z ulubionych sztuczek psychologicznych cyberprzestępców — zastraszanie. Ofierze grozi się, że jeśli natychmiast nie zweryfikuje swojego konta w MetaMask, zostanie ono zawieszone.

Aby wiadomość wydawała się bardziej wiarygodna, cyberprzestępcy umieszczają w niej nazwę i logo firmy, a w polu nadawcy wpisują pomoc techniczną. Pewne wątpliwości może wzbudzać tylko adres, z którego pochodzi e-mail.

Oszuści proszą ofiarę o zweryfikowanie konta

Pierwszą oznaką, że mamy do czynienia z oszustwem, jest literówka w nazwie firmy widoczna w adresie e-mail (metamasks zamiast metamask). Drugą oznaką jest domena — część adresu widoczna za symbolem @. Szanowane firmy zwykle używają swojej nazwy jako domeny, na przykład account-security-noreply@microsoft.com. W opisywanym przypadku domena nie ma żadnego związku z firmą MetaMask. Co więcej, adres zakończony „.de” wskazuje, że adres jest zarejestrowany w Niemczech, co również jest dziwne, zważywszy na to, że MetaMask jest firmą amerykańską.

Aby zweryfikować konto, ofiara ma kliknąć umieszczony w wiadomości e-mail link. Jednak nieprawidłowa domena, dodatkowe słowa i nazwy zagranicznych marek wyraźnie sugerują, że z wiadomością jest coś nie tak.

Wprowadź seed phrase

Jeśli ofiara nie zauważy tych znaków ostrzegawczych i kliknie link, zostanie przeniesiona na fałszywą stronę logowania, która przypomina oficjalną stronę MetaMask.

Ofiara jest proszona o wpisanie hasła do portfela

Oszuści nakłaniają ofiarę do wpisania w formularzu swojego tajnego zestawu słów, rzekomo w celu odblokowania portfela. Jeśli użytkownik je wprowadzi, zostanie przekierowany na prawdziwą stronę MetaMask, jednak od tej pory jego portfel będzie już w rękach cyberprzestępców.

Jak chronić swój portfel?

Cyberprzestępcy nieustannie wymyślają nowe i coraz bardziej wyrafinowane sposoby oszukiwania osób inwestujących w kryptowaluty. Jednak większość szwindli charakteryzuje kilka wspólnych cech, po których można je rozpoznać. Aby nie wpaść w zastawioną na nas pułapkę, zwykle wystarczy przestrzegać kilku prostych zasad bezpieczeństwa:

  • Uważaj na e-maile i wiadomości zawierające prośbę o zapłatę lub w których ktoś grozi Ci zablokowaniem konta, ewentualnie oferuje szybkie wzbogacenie się.
  • Zwróć uwagę na adres nadawcy. Jeśli nazwa firmy jest napisana niepoprawnie lub domena wygląda jak zestaw losowych znaków, prawie na pewno jest to oszustwo.
  • Pilnie strzeż informacji o sobie oraz danych logowania do konta i uzyskiwania dostępu do pieniędzy. Dowiedz się, jak działa system bezpieczeństwa kryptoportfeli, jakich informacji może wymagać od Ciebie usługa pomocy technicznej oraz czego nigdy nie należy nikomu udostępniać.
  • Korzystaj z niezawodnego rozwiązania zapewniającego ochronę przed oszustwami internetowymi i phishingiem, aby chronić swoje pieniądze przed wszelkiego rodzaju oszustwami.
Porady