Pengguna MetaMask Ditargetkan dalam Penipuan Phishing 2FA Mendesak

• Penipu menargetkan MetaMask 2FA, menipu pengguna agar memasukkan frasa pemulihan rahasia melalui peringatan keamanan palsu.
• Serangan sebelumnya menyebabkan $650K kerugian dalam NFT dan token; kewaspadaan dan saluran resmi mencegah pelanggaran serupa.
• Para ahli menyarankan menggunakan MFA, sistem keamanan email, dan memverifikasi email pengirim untuk memblokir upaya phishing.

MetaMask, sebuah dompet kriptografi, telah memperingatkan konsumennya tentang upaya phishing serius terkait kode (2FA) mereka. Phisher mengirimkan pesan bahwa konsumen harus memperbarui verifikasi dua faktor mereka sebelum 4 Januari 2026, agar tetap aman saat menggunakan dompet mereka.

Pada awal 5 Januari, ahli keamanan blockchain 23pds, mitra dan CISO di SlowMist, memperingatkan industri melalui media sosial. Upaya phishing ini bertujuan mencuri frasa mnemonik dengan menipu pengguna agar berinteraksi dengan halaman keamanan palsu.

Penipu membuat antarmuka verifikasi 2FA yang realistis dengan prompt hitung mundur, mendesak pengguna untuk memasukkan frasa pemulihan rahasia. Selain menyamar sebagai MetaMask, email ini juga menyertakan tautan ke situs berbahaya yang meniru peringatan keamanan resmi.

Peneliti malware Tomas Meskauskas sebelumnya menjelaskan scam ini secara rinci, menekankan bahwa pengguna harus memverifikasi alamat email pengirim. Dia memperingatkan, “Pengguna sebaiknya tidak percaya begitu saja pada email dari perusahaan yang tampak sah.” Oleh karena itu, penanganan email yang tidak diharapkan secara hati-hati tetap penting untuk keamanan crypto.

Insiden Sebelumnya dan Ancaman yang Berlanjut

Serangan ini mengikuti riwayat ancaman serupa. Tahun lalu, penyedia keamanan siber Australia MailGuard memblokir email phishing yang mengklaim adanya aktivitas tidak biasa di akun MetaMask. Email tersebut mendesak penerima untuk mengaktifkan 2FA segera agar tidak terkunci sementara.

MailGuard memperingatkan, “Satu email yang dirangkai dengan cerdas adalah semua yang dibutuhkan penipu untuk mencuri data sensitif atau menyebarkan malware.” Oleh karena itu, menghapus email mencurigakan sangat penting untuk melindungi aset digital.

MetaMask juga mengalami kerugian besar akibat serangan phishing. Insiden tahun 2022 menyebabkan kehilangan lebih dari 650.000 NFT dan token APE. Di sisi lain, proyek yang didanai oleh ConsenSys ini menegaskan bahwa mereka tidak akan pernah mengirim email yang meminta frasa pemulihan, akun Apple, dan Google. Mereka menekankan pentingnya mengaktifkan 2FA.

Rekomendasi Keamanan untuk Pengguna

Para ahli keamanan siber Halborn mendesak perusahaan crypto untuk membangun respons insiden phishing yang kuat. Tindakan cepat dapat meminimalkan kerusakan, sementara tim respons profesional mengurangi risiko selama serangan.

Selain itu, mengaktifkan multi-factor authentication (MFA) dan menggunakan sistem keamanan email membantu memblokir upaya phishing. Tim dukungan MetaMask menegaskan, “Perusahaan tidak akan pernah mengirim email konfirmasi acak atau meminta frasa pemulihan rahasia.”