Achtung MetaMask-Nutzer: Raffinierter 2FA-Betrug zielt auf Ihre Kryptowährungen ab

Die vermeintliche Sicherheit der Zwei-Faktor-Authentifizierung wird zum Einfallstor. Betrüger haben eine neue Methode perfektioniert, die genau diese Schutzschicht ausnutzt, um an die digitalen Vermögen ahnungsloser Nutzer zu gelangen.

Wie der Angriff funktioniert

Statt klassisches Phishing startet die Attacke mit einer täuschend echten Benachrichtigung – oft innerhalb vertrauter Community-Kanäle oder gefälschter Support-Portale. Sie fordert zur „Sicherheitsüberprüfung“ auf und leitet auf eine perfekte Kopie der MetaMask-Oberfläche. Das Opfer gibt seine Seed-Phrase ein und erhält prompt einen 2FA-Code. In diesem Moment überträgt ein Skript im Hintergrund die Anmeldedaten in Echtzeit an die Betrüger, die den Code sofort nutzen, um den Zugriff zu übernehmen. Die gesamte Transaktion dauert Sekunden.

Warum es funktioniert

Das Geniale – und Beunruhigende – an diesem Scam ist sein psychologisches Timing. Er spielt mit dem dringenden Sicherheitsbedürfnis der Nutzer. Die Integration einer echten 2FA-Abfrage verleiht dem Betrug eine Aura der Legitimität, die klassische Phishing-Versuche oft vermissen lassen. Es ist eine Erinnerung daran, dass in der Kryptowelt oft die fortschrittlichsten Tools von den schlauesten Gaunern gekapert werden. Ein bisschen wie im traditionellen Finanzwesen also, nur mit schnelleren Transaktionen und weniger Regulierungsbehörden, die hinterherhecheln.

So schützen Sie sich

MetaMask oder andere legitime Wallet-Anbieter werden Sie niemals nach Ihrer Seed-Phrase fragen – niemals. Deaktivieren Sie automatische Skripte in Ihrem Browser für Krypto-Websites. Nutzen Sie eine dedizierte Hardware-Wallet für größere Beträge. Und behalten Sie einen gesunden Zynismus: Wenn eine dringende „Sicherheitsmaßnahme“ von einer unbekannten Quelle kommt, ist sie wahrscheinlich das genaue Gegenteil. Letztendlich schützt nur gesundes Misstrauen und grundlegendes Sicherheitswissen Ihr digitales Gold vor denen, die es am lautesten als „revolutionär“ bewerben, aber die altbewährten Tricks nicht vergessen haben.

Meskauskas erklärt, wie man den MetaMask-2FA-Betrug vermeidet 

Der Malware-Forscher und Internetsicherheitsexperte Tomas Meskauskas veröffentlichte vor etwas mehr als einem Monat einen Artikel, in dem er erklärte, wie man sich vor Phishing-E-Mails zur Aktivierung der Zwei-Faktor-Authentifizierung schützen kann. Der Bericht riet MetaMask dringend, neben anderen Details stets die E-Mail-Adresse des Absenders zu überprüfen. Insbesondere wurden Nutzer davor gewarnt, E-Mails von scheinbar seriösen Unternehmen blind zu vertrauen.

dent der australische Cybersicherheitsdienstleister MailGuard eine Phishing- E-Mail, die vorgab, ungewöhnliche Aktivitäten auf MetaMask-Benutzerkonten festgestellt zu haben. Die E-Mail forderte die Empfänger außerdem auf, ihre Zwei-Faktor-Authentifizierung unverzüglich zu aktivieren, um eine vorübergehende Deaktivierung ihrer Konten zu verhindern.

MailGuard warnte davor, dass Betrügern bereits eine geschickt formulierte E-Mail genügen, um sensible Daten von Nutzern zu stehlen oder Schadsoftware in FORM von Anhängen und Links zu verbreiten. Das IT-Sicherheitsunternehmen riet allen Empfängern solcher E-Mails von MetaMask, diese umgehend zu löschen, um ihre Kryptowährungen zu schützen.

MetaMask war seit der Sicherheitslücke in Apples Cloud-Speicher im Jahr 2022, als Berichte über gestohlene Gelder kursierten . Die von ConsenSys unterstützte Krypto-Wallet gab bekannt, dass zu den gestohlenen digitalen Vermögenswerten NFTs im Wert von 132,86 ETH (ca. 402.980 US-Dollar) und APE (Apecoin) im Wert von über 250.000 US-Dollar gehörten, was einem Gesamtschaden von über 650.000 US-Dollar entspricht.

MetaMask benötigt proaktive Anti-Phishing-Maßnahmen

Das Cybersicherheitsteam des Blockchain-Sicherheitsunternehmens Halborn hatte MetaMask und andere Krypto-Unternehmen zuvor dringend aufgefordert, proaktiv Prozesse zur Abwehr von Phishing-Angriffen zu etablieren. Laut Halborn müssen solche Krypto-Unternehmen diese Prozesse implementieren, da niemand jede Phishing-E-Mail erkennen kann. 

Das Blockchain-Sicherheitsunternehmen erklärte außerdem, dass es für MetaMask , unmittelbar nach der Identifizierung eines Phishing-Angriffs auf Nutzer Maßnahmen dent dent einzuleiten , um potenziellen Schaden zu minimieren. Es wies zudem darauf hin, dass ein professionelles Notfallreaktionsteam, dent jederzeit einsatzbereit ist, den entscheidenden Unterschied zwischen einem schwerwiegenden Angriff und einem glimpflichen Ausgang ausmachen kann.

Das Cybersicherheitsteam von Halborn riet MetaMask-Nutzern dringend, die Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung (MFA) stets über die offiziellen Plattformen zu aktivieren und aktuell zu halten. Es wies außerdem darauf hin, dass E-Mail-Sicherheitssysteme helfen können, potenzielle Phishing-Angriffe zu erkennen und zu blockieren, und dass die Verwendung von Multi-Faktor-Authentifizierung die Auswirkungen kompromittierterdentminimiert. 

Das MetaMask-Supportteam hat Nutzern außerdem mitgeteilt, dass das Unternehmen niemals unaufgefordert Bestätigungs-E-Mails versendet, selbst wenn ihre Wallets mit ihren Google- oder Apple-Konten verknüpft sind. Das Team stellte zudem klar, dass das Unternehmen niemals nach den Apple- oder Google-Kontodaten seiner Nutzer fragt. 

MetaMask betonte außerdem, dass es ohne ausdrückliche Anfrage des Support-Teams keine E-Mail-Korrespondenz mit Nutzern initiiert und auch nicht initiiert. Es stellte kategorisch klar, dass es unter keinen Umständen geheime Wiederherstellungsphrasen von seinen Nutzern anfordert.

Erhalten Sie 50 $ gratis für den Krypto-Handel, wenn Sie sich jetzt bei Bybit anmelden