MetaMask memberi amaran kepada pengguna Apple supaya berhati-hati terhadap serangan pancingan data pada 17 April selepas pengguna iPhone ditipu daripada NFT dan ApeCoin bernilai $650,000 (APE).
Menurut MetaMask, terdapat isu keselamatan dengan tetapan lalai pada peranti seperti iPhone, iPad dan MacBook yang membolehkan pelaku berniat jahat melihat frasa benih atau "kotak MetaMask yang disulitkan kata laluan" yang disimpan pada perkhidmatan storan iCloud Apple.
? Jika anda telah mendayakan sandaran iCloud untuk data apl, ini akan termasuk peti besi MetaMask yang disulitkan kata laluan anda. Jika kata laluan anda tidak cukup kuat, dan seseorang memalsukan bukti kelayakan iCloud anda, ini boleh bermakna dana dicuri. (Baca terus?) 1/3
— MetaMask ?? (@MetaMask) April 17, 2022
Mengenal pasti masalah
Pada 15 April, pengguna Twitter Domenic Iacovone mengadu bahawa dia telah kehilangan semua token tidak boleh kulat (NFT) dalam dompetnya. Ini termasuk tiga Beruk Mutant, tiga Kucing Longkang, dan $100,000 dalam ApeCoin.
Iacovone berkata dia mendapat panggilan pada telefonnya yang ID pemanggil dibenderakan sebagai nombor Apple. Dia pada mulanya tidak mengangkat tetapi menghubunginya semula kerana ID pemanggil mengatakan ia daripada Apple.
Bagaimanapun, pemanggil tersebut adalah penipu menggunakan nombor palsu. Dia meminta Iacovone untuk kod yang dihantar ke telefonnya dengan berpura-pura menjadi wakil Apple. Iacovone berkata dia kehilangan segala-galanya dalam dompet Metamasknya beberapa saat selepas berkongsi kod itu dengan penipu.
Beginilah ia berlaku, Mendapat panggilan telefon daripada apple, secara literal daripada apple (pada Id pemanggil saya) Menelefonnya semula kerana saya mengesyaki penipuan dan ia adalah nombor epal. Jadi saya percaya mereka
Mereka meminta kod yang dihantar ke telefon saya dan 2 saat kemudian seluruh MetaMask saya dipadamkan— Domenic Iacovone (@revive_dom) April 14, 2022
Menjelaskan serangan
Pengguna Twitter @Serpent, pengasas sistem pengurangan ancaman crypto Sentinel, menjelaskan proses untuk serangan pancingan data. Menurutnya, penyerang menggunakan spoofer ID pemanggil yang membuatkan mereka kelihatan seperti mereka dari Apple, dan mendakwa terdapat aktiviti mencurigakan pada akaun tersebut.
? PENIPUAN PHISHING BAHARU ?
Sudah $650,000 dicuri daripada seorang individu dan ia akan berlaku kepada lebih ramai orang.
Beginikah kejadiannya??
— Ular (@Ular) April 17, 2022
Penipu itu kemudian meminta tetapan semula kata laluan untuk ID Apple mangsa. Mangsa akan mendapat kod untuk menetapkan semula, dan penipu meminta kod itu, mendakwa ia untuk mengesahkan mereka memiliki Apple ID.
Pada hakikatnya, penipu menggunakan kod untuk menetapkan semula kata laluan mangsa, yang memberi mereka akses kepada akaun iCloud. Jika data MetaMask disimpan pada iCloud, mereka boleh mengaksesnya dan mencuri aset mangsa.
Penyelesaian yang dicadangkan MetaMask
MetaMask telah menggesa penggunanya untuk melumpuhkan sandaran iCloud untuk aplikasi mereka dengan menggunakan togol ini: "Tetapan > Profil > iCloud > Urus Storan > Sandaran."
Anda boleh melumpuhkan sandaran iCloud untuk MetaMask secara khusus dengan mematikan togol di sini:
Tetapan > Profil > iCloud > Urus Storan > Sandaran.
2/3— MetaMask ?? (@MetaMask) April 17, 2022
Bagi mereka yang ingin mematikan ciri sepenuhnya, mereka boleh berbuat demikian di "Tetapan > Apple ID/iCloud > iCloud > Sandaran iCloud."
Serangan pancingan data dan ruang crypto
Ini bukan skim serangan pancingan data pertama yang telah dirungkai oleh industri crypto tahun ini. Opensea pengguna menghadapi "serangan pancingan data" yang membawa kepada mereka kehilangan berjuta-juta daripada dolar; serangan lain melihat pengasas bersama Defiance kehilangan NFT bernilai $1.8 juta.
Dengan kelaziman serangan sedemikian dan peningkatan kecanggihan kaedah yang digunakan, pakar keselamatan industri telah menasihatkan pemegang crypto untuk menggunakan dompet sejuk dan mengelakkan menyambungkan dompet mereka ke laman web rawak.
Sumber: https://cryptoslate.com/metamask-warns-apple-users-of-phishing-attack-after-scammer-steals-650k-in-nfts-apecoin-from-iphone-user/