Uusi phishing-huijaus, joka kohdistuu MetaMaskin käyttäjiin, leviää. Siinä käytetään erittäin realistista “kaksivaiheista tunnistautumista (2FA)” lompakon palautuslauseen varastamiseen.
Kampanja osoittaa, että sosiaalisen manipulaation keinot ovat kehittyneet entisestään, vaikka kryptovaluuttoihin liittyvät phishing-hyökkäysten raportoidut tappiot laskivat jyrkästi vuonna 2025.
Metamask-phishing-huijauksen anatomia
Lohkoketjuturvayhtiö SlowMistin tietoturvajohtaja nosti huijauksen esiin tuoreessa julkaisussa X:ssä (entinen Twitter). Tässä phishing-operaatiossa käytetään useita harhautuksen tasoja käyttäjien lompakoiden vaarantamiseksi.
Uhrit saavat sähköposteja, jotka vaikuttavat tulevan MetaMaskin tukipalvelusta. Niissä ilmoitetaan pakollisesta kaksivaiheisesta tunnistautumisesta. Sähköpostit käyttävät ammattimaista ilmettä, mukaan lukien MetaMaskin kettu-logo ja värimaailma.
Julkaisussa paljastettiin, että hyökkääjät hyödyntävät verkkotunnuksia, jotka muistuttavat lähes täysin aitoa. Dokumentoidussa tapauksessa valeverkkotunnus poikkesi alkuperäisestä vain yhdellä kirjaimella, minkä vuoksi sitä on vaikea huomata nopeasti.
Kun käyttäjä päätyy phishing-sivustolle, häntä ohjataan läpi näennäisesti aidon turvallisuusprosessin. Lopuksi huijarit pyytävät syöttämään palautuslauseen, vedoten “2FA-turvallisuusvarmistukseen”.
Tässä vaiheessa huijaus iskee ratkaisevasti. Lompakon palautuslause (tunnetaan myös palautus- tai mnemonic-lauseena) on lompakon pääavain. Jokainen, joka saa sen haltuunsa, voi:
- Siirtää varoja ilman alkuperäisen omistajan tietoa tai hyväksyntää
- Luo lompakon uudelleen toisella laitteella
- Hallitsee kaikkia siihen liittyviä yksityisiä avaimia täysin
- Allekirjoittaa ja toteuttaa tapahtumia itsenäisesti
Kun palautuslause on jonkun hallussa, hän pystyy pääsemään lompakkoon ilman salasanaa, kaksivaiheista tunnistautumista tai laitteen hyväksyntää. Tämän vuoksi lompakkopalveluntarjoajat varoittavat käyttäjiä jakamasta palautuslausettaan missään tilanteessa.
Kaksivaiheinen tunnistautuminen on tarkoitettu suojaamaan käyttäjiä, mutta huijarit hyödyntävät sen mainetta huijaustarkoituksessa. Psykologinen vaikuttaminen, tekniset temput ja kiireen tuntu muodostavat edelleen vahvan uhan.
Huijaus tapahtuu samaan aikaan, kun phishingiin liittyvät tappiot ovat laantuneet. Tietojen mukaan kryptovaluutta-phishingin tappiot laskivat jyrkästi vuonna 2025 – pudotus oli noin 83 prosenttia ja tappiot olivat noin 84 miljoonaa dollaria, kun vuotta aiemmin ne olivat lähes 494 miljoonaa dollaria.
“Phishing-tappioiden määrä seurasi tiiviisti markkina-aktiivisuutta. Kolmannella vuosineljänneksellä nähtiin sekä vahvin ETH-hintaralli että suurimmat phishing-tappiot (31 miljoonaa dollaria). Kun markkinat ovat aktiiviset, yleinen käyttäjätoiminta lisääntyy ja osa joutuu uhreiksi – phishing on käytännössä käyttäjäaktiivisuuden todennäköisyystoiminto,” Scam Snifferin raportissa todettiin.
Markkina-aktiivisuudessa on palautumisen merkkejä alkuvuonna 2026, mukaan lukien meemikolikoiden hintarallit ja yksityissijoittajien osallistumisen lisääntyminen. Huijausten määrät ovat nousussa, joten phishing-menetelmien tunnistaminen ja lompakon tunnistetietojen huolellinen käsittely ovat edelleen olennaisen tärkeitä.
