- Emergeix una campanya de pesca falsa d’autenticació de dos factors dirigida als usuaris de MetaMask.
- Una estafa de pesca sofisticada dirigida als usuaris de MetaMask explota comprovacions falses de 2FA.
- L’estafa de pesca de MetaMask posa de manifest l’augment dels riscos d’enginyeria social en la seguretat criptogràfica.
Una nova campanya de pesca dirigida als usuaris de MetaMask està cridant l’atenció sobre la rapidesa amb què estan evolucionant les estafes criptogràfiques.
L’esquema utilitza un flux d’autenticació convincent de dos factors per enganyar els usuaris perquè lliurin les frases de recuperació de la cartera.
Tot i que les pèrdues globals de cripto phishing van caure bruscament el 2025, les tàctiques darrere d’aquests atacs són cada cop més polides i més difícils de detectar.
Els investigadors de seguretat diuen que la campanya reflecteix un canvi de missatges de correu brossa crus a una suplantació d’identitat dissenyada amb cura, combinant una marca familiar, precisió tècnica i pressió psicològica.
El resultat és una amenaça que sembla rutinària a la superfície, però que pot conduir a una presa completa de la cartera en qüestió de minuts.
Com funciona l’estafa
La campanya va ser marcada pel cap de seguretat de SlowMistque va compartir detalls sobre X.
Els correus electrònics de pesca estan dissenyats per semblar missatges oficials de MetaMask Support i afirmen que els usuaris han d’activar l’autenticació obligatòria de dos factors.
Reflecteixen de prop la marca del proveïdor de carteres, utilitzant el logotip de la guineu, la paleta de colors i el disseny que molts usuaris reconeixen.
Una part clau de l’engany rau en els dominis web utilitzats pels atacants. En casos documentats, el domini fals es diferenciava del real per una sola lletra.
Aquest petit canvi fa que sigui fàcil de perdre’s, sobretot a les pantalles de mòbils o quan els usuaris actuen ràpidament.
Un cop obert l’enllaç, les víctimes són conduïdes a un lloc web que imita de prop la interfície de MetaMask.
El fals procés 2FA
Al lloc de pesca, els usuaris són guiats pel que sembla ser un procediment de seguretat estàndard.
Cada pas reforça la idea que el procés és legítim i està dissenyat per protegir el compte.
En l’etapa final, el lloc demana als usuaris que introdueixin la seva frase inicial de cartera, presentant-la com un pas necessari per completar la configuració d’autenticació de dos factors.
Aquest és el moment decisiu de l’estafa. Una frase inicial, també coneguda com a frase mnemotècnica o de recuperació, funciona com a clau mestra d’una cartera.
Amb ell, un atacant pot recrear la cartera en un altre dispositiu, transferir fons sense aprovació i signar transaccions de manera independent.
Les contrasenyes, l’autenticació de dos factors i les confirmacions del dispositiu esdevenen irrellevants un cop es compromet la frase.
Per aquest motiu, els proveïdors de carteres adverteixen repetidament als usuaris que mai comparteixin frases de recuperació sota cap circumstància.
L’ús de l’autenticació de dos factors com a esquer és deliberat.
2FA s’associa àmpliament amb una seguretat més forta, cosa que redueix les sospita.
Quan es combina amb la urgència i la presentació professional, crea una falsa sensació de seguretat.
Fins i tot els usuaris experimentats es poden agafar desprevinguts quan una característica de seguretat familiar es converteix en una eina per a l’engany.
A principis de 2026 ja s’ha mostrat indicis d’una activitat renovada del mercat, incloses les manifestacions de monedes memes i la creixent participació minorista.
A mesura que augmenta l’activitat, sembla que els atacants tornen amb mètodes més refinats en lloc de volums més elevats d’estafes de baixa qualitat.
La campanya de pesca de MetaMask suggereix que les amenaces futures poden dependre menys de l’escala i més de la credibilitat.
Per als usuaris de MetaMask i carteres criptogràfiques de manera més àmplia, l’episodi subratlla la necessitat d’una vigilància constant.
Les eines de seguretat segueixen sent essencials, però entendre com es poden fer un mal ús és tan important com utilitzar-les.
