針對MetaMask用戶的新型釣魚策略：如何識別並防範雙重驗證（2FA）詐騙

SlowMist 的安全研究人員已經報告了一波針對 MetaMask 錢包用戶的日益複雜的攻擊潮。這種新的犯罪手法專注於一個精心策劃的騙局，利用被稱為 2FA 的雙重驗證機制來竊取登入憑證和錢包中的資金。

攻擊機制：騙局如何運作

犯罪分子已經完善了一套結合社會工程學元素與高級模仿合法界面的策略。他們創建的網頁能忠實複製 MetaMask 官方安全訊息的外觀，誘使用戶相信自己正面臨一次真實的驗證。

使這種技術特別狡猾的是，它使用倒數計時器，人工營造出緊迫感和恐慌感。當用戶感受到威脅並受到時間壓力時，更容易犯錯並忽略警示信號。

真正的危險：Seed phrase 的要求

騙局的關鍵元素是要求提供 Seed phrase，即代表完全存取錢包的 12 或 24 個關鍵詞序列。一旦獲得這些詞，騙子就能完全控制存放在錢包中的所有數字資產。

必須理解的是 MetaMask 在任何網路上的 2FA 驗證過程中都絕不會要求輸入 Seed phrase。任何要求輸入這些詞的網站都絕對是詐騙，這條規則沒有例外。

如何辨別合法攻擊與詐騙

騙局手法不斷演進，犯罪分子已經變得能模擬甚至最先進的安全功能。為了保護自己，必須識別一些關鍵指標：

• 合法服務絕不會通過線上表單要求提供 Seed phrase
• 人工製造的倒數計時器和緊迫感是典型的詐騙信號
• 在輸入敏感資料前，務必核實網站的網址是否正確
• 對非官方渠道收到的訊息保持警覺

必要的防護措施

使用硬體錢包是對抗基於瀏覽器的惡意軟體攻擊的有效防禦。這些裝置能將 Seed phrase 完全隔離於線上環境之外，即使電腦遭到攻擊，也難以被竊取。

對於在瀏覽器上使用 MetaMask 的用戶，建議：始終核實網址、啟用所有可用的安全措施，並且將 Seed phrase 存放在安全的實體場所，絕不存放於數位設備中。

免責聲明： 本文旨在提供有關安全的教育與意識資訊，不構成投資建議。在採取任何行動前，請仔細閱讀並評估適當的安全措施。