MetaMask paralajmëroi përdoruesit e Apple që të jenë të kujdesshëm ndaj sulmeve të phishing më 17 prill pasi një përdoruesi i iPhone u mashtrua nga NFT dhe ApeCoin me vlerë 650,000 dollarë (APE).
Sipas MetaMask, ka një problem sigurie me cilësimet e paracaktuara në pajisje si iPhone, iPad dhe MacBook që lejon aktorët keqdashës të shohin frazën fillestare ose "kasafortën e koduar me fjalëkalim MetaMask" të ruajtur në shërbimin e ruajtjes iCloud të Apple.
? Nëse keni aktivizuar rezervimin e iCloud për të dhënat e aplikacionit, kjo do të përfshijë kasafortën tuaj të koduar me fjalëkalim MetaMask. Nëse fjalëkalimi juaj nuk është mjaftueshëm i fortë dhe dikush mashtron kredencialet tuaja iCloud, kjo mund të nënkuptojë fondet e vjedhura. (Lexo më ?) 1/3
- MetaMask ?? (@MetaMask) Prill 17, 2022
Identifikimi i problemit
Më 15 prill, përdoruesi i Twitter, Domenic Iacovone u ankua se kishte humbur të gjitha tokenat e pandryshueshme (NFT) në portofolin e tij. Kjo përfshinte tre majmunë mutant, tre mace ulluqe dhe 100,000 dollarë në ApeCoin.
Iakovone tha se mori një telefonatë në telefonin e tij që ID-ja e telefonuesit e shënoi si një numër Apple. Ai fillimisht nuk e mori, por e thirri pasi ID e telefonuesit thoshte se ishte nga Apple.
Megjithatë, telefonuesi ishte një mashtrues duke përdorur një numër të falsifikuar. Ai i kërkoi Iakovone një kod të dërguar në telefonin e tij nën pretendimin se ishte përfaqësues i Apple. Iakovone tha se humbi gjithçka në portofolin e tij Metamask disa sekonda pasi ndau kodin me mashtruesin.
Kështu ndodhi, Mora një telefonatë nga Apple, fjalë për fjalë nga Apple (në numrin tim të telefonuesit) E thirra përsëri sepse dyshova për mashtrim dhe ishte një numër Apple. Kështu që i besova
Ata kërkuan një kod që u dërgua në telefonin tim dhe 2 sekonda më vonë u fshi i gjithë MetaMask— Domenic Iakovone (@revive_dom) Prill 14, 2022
Duke shpjeguar sulmin
Përdoruesi i Twitter @Serpent, themeluesi i sistemit të zbutjes së kërcënimeve të kriptove, Sentinel, shpjegoi procesin për sulmin e phishing. Sipas tij, sulmuesi përdori një mashtrues të ID-së së thirrësit që i bënte të dukeshin sikur ishin nga Apple dhe pretendoi se kishte aktivitet të dyshimtë në llogari.
? MASHTRIMI I RI PHISHING ?
Tashmë 650,000 dollarë janë vjedhur nga një individ i vetëm dhe kjo do t'u ndodhë shumë më tepër njerëzve.
Kështu ndodhi??
— Gjarpri (@Serpent) Prill 17, 2022
Mashtruesi më pas kërkoi një rivendosje të fjalëkalimit për Apple ID të viktimës. Viktima do të marrë një kod për rivendosje dhe mashtruesi e kërkon atë kod, duke pretenduar se është për të verifikuar se zotëron ID-në e Apple.
Në realitet, mashtruesi përdor kodin për të rivendosur fjalëkalimin e viktimës, i cili i jep atyre akses në llogarinë iCloud. Nëse të dhënat e MetaMask ruhen në iCloud, ata mund t'i qasen dhe të vjedhin asetet e viktimave.
Zgjidhja e propozuar e MetaMask
MetaMask u ka kërkuar përdoruesve të saj që të çaktivizojnë kopjet rezervë të iCloud për aplikacionin e tyre duke përdorur këtë çelës: "Cilësimet > Profili > iCloud > Menaxho hapësirën ruajtëse > kopjet rezervë".
Ju mund të çaktivizoni kopjet rezervë të iCloud për MetaMask në mënyrë specifike duke fikur çelësin këtu:
Cilësimet > Profili > iCloud > Menaxho hapësirën ruajtëse > Rezervimet.
2/3- MetaMask ?? (@MetaMask) Prill 17, 2022
Për ata që duan ta çaktivizojnë plotësisht funksionin, mund ta bëjnë këtë te "Cilësimet > Apple ID/iCloud > iCloud > Rezervimi i iCloud".
Sulmet e phishing dhe hapësira e kriptove
Kjo nuk është skema e parë e sulmit phishing që industria e kriptove ka zbuluar këtë vit. Deti i Hapur përdoruesit u përballën me "sulme phishing" që çuan në to duke humbur miliona dollarë; një sulm tjetër pa bashkëthemeluesi i Defiance humbi 1.8 milionë dollarë NFT.
Me përhapjen e sulmeve të tilla dhe sofistikimin në rritje të metodave të përdorura, ekspertët e sigurisë së industrisë kanë këshilluar mbajtësit e kriptove që të përdorin kuletat e ftohta dhe të shmangin lidhjen e kuletave të tyre me faqet e internetit të rastësishme.
Burimi: https://cryptoslate.com/metamask-warns-apple-users-of-phishing-attack-after-scammer-steals-650k-in-nfts-apecoin-from-iphone-user/