导语:MetaMask钱包是世界上最优秀的以太坊资产管理钱包,可用于ETH和代币的管理,也可以用于一键发币等中心化应用(DApp)应用的交互。
MetaMask网络钓鱼通过Google广告窃取了加密货币钱包
MetaMask钱包是世界上最优秀的以太坊资产管理钱包,可用于ETH和代币的管理,也可以用于一键发币等中心化应用(DApp)应用的交互。MetaMask是一款在谷歌浏览器Chrome上使用的插件类型的以太坊钱包,该钱包不需要下载,只需要在谷歌浏览器添加对应的扩展程序即可,非常轻量级,使用起来也非常方便。既然是一款运行在谷歌浏览器Chrome上的插件,当然首先需要先安装Chrome了。读者可以进入官网https://www.google.com/chrome/下载安装,进入后网站自动跳转到页面https://www.google.com/chrome/browser/desktop/index.html,点击页面上的下载按钮即可。不过需要提醒读者的是,从官网下载的Chrome安装文件其实是一个下载安装器,运行这个下载安装器之后,安装器再下载安装完整版的Chrome。由于MetaMask一直在向用户浏览的网站广播他们的以太坊钱包,允许第三方查看他们的以太坊地址,并可能将其与他们的网页浏览动态联系在一起。不过在2019年,根据MetaMask GitHub上提交的一个问题,该钱包有一个内置的“隐私模式”,可以阻止这种情况发生,但这需要用户手动激活。如果没有启用该功能,这个应用还是会将相关信息“同步到”用户浏览过的网站。这引起了用户的担忧,因为“任何广告或跟踪系统”都可以因此查到MetaMask用户的以太坊地址,从而将地址链接到用户的浏览活动——这对匿名性造成了影响。
这不在最近两天,有用户反映在谷歌的搜索框中输入搜索词“MetaMask”后,出现在谷歌广告中的第一个搜索结果是一个虚假的MetaMask网站,点击进去后就有用户的资金被一种伪装成流行加密钱包MetaMask的恶意Chrome浏览器扩展程序盗取。
诈骗过程
在过去的一周中,MetaMask加密货币钱包的用户随时可能遭受网络钓鱼诈骗的攻击,该骗局通过谷歌搜索广告诱骗潜在受害者。MetaMask拥有超过100万用户的社区,该网站通过浏览器扩展提供了一个浏览器中的Ethereum加密货币钱包,该浏览器扩展允许分布式应用程序从区块链读取数据。在安装合法扩展时,用户可以导入现有的钱包,也可以创建新的钱包以及允许访问该钱包的秘密种子密码。
尽管尚不清楚有多少MetaMask用户上当受骗,但一些人表示,只要他们点击了MetaMask网站宣传的虚假搜索广告后,钱包就被洗劫一空了。
网络钓鱼广告诈骗目前仍处于活动状态,并且不断通过Google搜索广告推广新域名。
在星期三,MetaMask向其社区发出了有关该骗局的警报,并建议使用直接链接到合法metamask.io URL的方式,并不要点击任何广告链接。
MetaMask网络钓鱼通过Google广告窃取了加密货币钱包
但是,对于某些用户来说,警告来得太晚了,因为一些用户报告说损失了数万美元。
投诉从本周开始大量涌现,所有投诉都描述了相同的情况:在尝试安装MetaMask浏览器扩展后,钱包就被洗劫一空了。
用户通过谷歌广告进入了一个假冒的MetaMask钓鱼页面,一旦进入该页面,用户就会被提示安装该扩展,用户可以选择是导入现有钱包还是创建新钱包。
MetaMask网络钓鱼通过Google广告窃取了加密货币钱包
虚假的MetaMask网络钓鱼页面
如果用户点击“创建钱包”按钮,则会被带到真实的MetaMask.io网站,因为其中没有要窃取的加密货币。但是,如果他们单击“导入钱包”选项,则会要求他们输入其现有钱包的关键字,然后将其发送给攻击者。
MetaMask网络钓鱼通过Google广告窃取了加密货币钱包
窃取钱包密码
一旦诈骗者得到了密码,他们就开始掏空受害者的钱包。在Twitter上回应MetaMask的警告时,一名用户表示,他们被抢走了近3万美元。
MetaMask网络钓鱼通过Google广告窃取了加密货币钱包
Google搜索广告中推送了多个欺诈性链接
诈骗者购买了Google广告,以定位在Google搜索引擎中搜索MetaMask的用户。这些广告导致假冒域名伪造了加密货币服务。
诈骗者注册了多个域名进行诈骗,该骗局目前仍在进行中,如BleepingComputer拍摄的以下屏幕截图所示:
MetaMask网络钓鱼通过Google广告窃取了加密货币钱包
Google搜索中的欺诈性MetaMask广告
当前,在Google上查找MetaMask时,域名maskmefa[.]io已在搜索广告中被大量推广。标题广告中的服务拼写应该是一个红色标记,但是大多数用户很可能会错过此标记(请注意顶级域名之前的俄语“к”和空格)。在Domaintools上进行的whois查询显示它仅注册了几天。
区块链取证公司CipherTrace在本周的一篇文章中提到了另外三个用于诈骗的域名:
maskmeha[.]io
installmetamask[.]com
meramaks[.]io
前两个分别是10天和9天,而第三个是前4天才注册的,所有这些都是通过同一个注册商NameCheap注册的。
登陆欺诈网站的用户将很难发现欺诈,因为它看起来几乎与合法的MetaMask页面相同。即使他们在地址栏检查了域名,也很有可能上当受骗。
MetaMask网络钓鱼通过Google广告窃取了加密货币钱包
假冒MetaMask网站
MetaMask网络钓鱼通过Google广告窃取了加密货币钱包
合法的MetaMask网站
对于大多数用户而言,原始MetaMask网站和假冒的网站之间的唯一区别是不明显的(按钮上的文字以获取扩展名)。
节假日期间,当消费者花更多的钱来享受折扣或特价优惠时,诈骗和恶意软件攻击的频率就会增加,并且更容易分散注意力。
注意下载源可减少被攻击的机会,MetaMask建议从直接的官方链接(例如,LinkedIn,Twitter,Facebook上的公司帐户)访问资源,并避免来自第三方的重定向(例如,消息中的URL),这是避免被骗的好方法。
