Sentinel Founder Serpent đã chia sẻ trên Twitter vụ lừa đảo tiền điện tử mới nhất; MetaMask được đề xuất để tắt chức năng sao lưu iCloud.
Bằng cách lừa nạn nhân đặt lại ID Apple của họ và lấy mã xác minh một lần 2FA, những kẻ lừa đảo có thể truy cập vào dữ liệu liên quan đến MetaMask của họ được lưu trữ trên iCloud và rút tiền. MetaMask cũng ngay lập tức kêu gọi người dùng tắt chức năng sao lưu iCloud trên Twitter.
Mẹo bảo vệ
- Không cung cấp mã xác minh cho bất kỳ ai.
- Không tiết lộ số điện thoại di động và email.
- Luôn lưu trữ tài sản có giá trị cao trong ví lạnh.
- “Thông tin người gọi” rất dễ bị làm giả và một công ty như Apple và Google sẽ không bao giờ gọi cho bạn.
650 nghìn USD trong MetaMask đã bị đánh cắp
Theo tweet của Serpent vào ngày 17 tháng 4, người dùng Twitter Domenic Iacovone đã nhận được nhiều tin nhắn trên điện thoại di động vào ngày 15 tháng 4, yêu cầu anh đặt lại mật khẩu Apple ID của mình và nhận được một cuộc gọi từ “Apple Inc.” chiều hôm đó.
Sau đó, “Apple Inc.” nói rằng ID Apple của anh ấy có hoạt động đáng ngờ và yêu cầu anh ấy đặt lại mật khẩu, sau đó yêu cầu mã xác minh một lần.
Sau khi nạn nhân cung cấp mã xác minh một lần, điều này tạo cơ hội cho kẻ lừa đảo chứng minh rằng họ là chủ sở hữu của tài khoản Apple ID và kẻ lừa đảo sau đó đã rút sạch ví MetaMask của nạn nhân.
Tại sao có ID Apple lại có thể truy cập ví Metamash của bạn?
Nếu người dùng Apple đã bật chức năng sao lưu iCloud, MetaMask sẽ lưu trữ dữ liệu trong iCloud. Quá trình tấn công như sau:
- Yêu cầu nạn nhân đặt lại mật khẩu của họ trước để làm cho nạn nhân nghi ngờ.
- Gọi cho nạn nhân giả vờ là một Apple chính thức, xác nhận hoạt động đáng ngờ trên tài khoản.
- Sau khi đặt lại mật khẩu, nạn nhân được yêu cầu cung cấp mã xác minh một lần để chứng minh rằng nạn nhân là chủ sở hữu Apple ID.
- Sau khi nhận được mã xác minh, những kẻ lừa đảo có quyền truy cập vào tài khoản iCloud, bao gồm cả dữ liệu MetaMask.
Người dùng Twitter Domenic Iacovone đã mất nhiều NFT APE Boring, tổng trị giá 132,86 ETH và 252.400 USDT, trị giá khoảng US $ 655.388.
Khuyến nghị chính thức của MetaMask
MetaMask đã cung cấp các bước sau trên Twitter cho người dùng Apple:
- Cài đặt
- Hồ sơ
- iCloud
- Quản lý lưu trữ
- Nhấp vào “Sao lưu”
- Tắt chức năng sao lưu MetaMask
Một lần và cho tất cả giải pháp: Cài đặt / Hồ sơ / iCloud / Trực tiếp tắt chức năng sao lưu iCloud
Kết luận
Bài đăng này có thể hơi muộn đối với những ai đã trở thành nạn nhân của trò lừa đảo iCloud-MetaMask này. Nhưng đối với các chủ sở hữu tiền điện tử khác và những người thu thập NFT, nó sẽ chỉ ra cách ngăn chặn kỹ thuật lừa đảo mới nhất.
Mã xác thực hai yếu tố (2FA) là bí mật không thể được chia sẻ với bất kỳ ai, bất kể cuộc gọi, email hoặc SMS có vẻ thuyết phục như thế nào. Các đại diện được ủy quyền sẽ không bao giờ yêu cầu mã xác thực.
Hơn nữa, chủ sở hữu tiền điện tử nên xem xét triển khai hệ thống ví hai hoặc ba tầng để giảm thiểu tổn thất của họ trong ví nóng, như MetaMask trong trường hợp này. Cuối cùng, việc giữ bí mật các khoản đầu tư tiền điện tử của bạn từ phương tiện truyền thông xã hội và các kênh công khai khác khiến bạn ít trở thành mục tiêu hơn. Như bạn có thể biết, tin tặc và những kẻ lừa đảo đang tìm kiếm những nạn nhân tiềm năng
Dịch từ Hackernoon
Last Comments
A writer is someone for whom writing is more difficult than it is for other people.
Riding the main trail was easy, a little bumpy because my mountain bike is a hardtail
Teamwork begins by building trust. And the only way to do that is to overcome our need for invulnerability.