Nová phishingová podvodná metoda se zaměřuje na uživatele MetaMask. Podvodníci využívají přesvědčivě vypadající „proces dvoufaktorového ověření“, aby ukradli obnovovací frázi peněženek.
Tato kampaň ukazuje, že sociální manipulace se stále zlepšuje, i když hlášené ztráty z útoků na kryptoměny v roce 2025 výrazně klesly.
Jak funguje phishingový podvod s MetaMask
Zástupce bezpečnostního vedoucího společnosti SlowMist, firemního specializovaného na bezpečnost blockchainu, popsal podvod v aktuálním příspěvku na X. Při tomto útoku existuje několik stupňů lži, aby se převzaly peněženky uživatelů.
Postižení dostávají e-maily, které se zdají pocházet od podpory MetaMask. V těchto e-mailech je uvedeno, že dvoufaktorové ověření je nyní povinné. Podvodníci používají profesionální design, například logo lišky a barvy MetaMask.
Kromě toho se ukázalo, že útočníci používají domény, které vypadají téměř stejně jako skutečná MetaMask webová stránka. V jednom případě se lišily jen o jeden znak, takže uživatelé rozdíl téměř nezaregistrovali.
Když uživatelé kliknou na falešnou stránku, na začátku si žádný rozdíl nevšimnou. Postupně je vedeni skrze zdánlivě důvěryhodný bezpečnostní proces. Na konci mají uvést svou seed frázi, podle toho, aby dokončili „ověření bezpečnosti 2FA“.
To je rozhodující okamžik při podvodu. Seed fráze peněženky (také známá jako obnovovací fráze nebo mnemonická fráze) je hlavním klíčem k peněžence. Kdo ji zná, může:
Převody mincí bez vědomí nebo souhlasu vlastníka
Obnovení peněženky na jiném zařízení
Úplná kontrola nad všemi soukromými klíči peněženky
Samostatné podepisování a provádění transakcí
Kdo zná tuto seed frázi, může se přístupovat k peněžence – bez hesla, dvoufaktorového ověření nebo sdílení zařízení. Proto peněženkoví poskytovatelé neustále varují: nikdy svou seed frázi nezveřejňujte.
I když dvoufaktorové ověření má sloužit k ochraně uživatelů, útočníci využívají dobré jméno, aby je oklamali. Tato psychologická trik, kombinovaná s technickými triky a časovým tlakem, zůstává velmi nebezpečná.
Podvod probíhá v době, kdy celkové ztráty z phishingu klesají. Data ukazují, že ztráty z kryptoměnového phishingu v roce 2025 výrazně klesly – o přibližně 83 procent na přibližně 84 milionů USD. V předchozím roce byly téměř 494 milionů USD.
„Ztráty z phishingu úzce souvisí s pohybem trhu. Ve třetím čtvrtletí byla největší nápor ETH i nejvyšší ztráty z phishingu (31 milionů USD). Když na trhu probíhá mnoho aktivit, roste i činnost uživatelů a část z nich se stává oběťmi – phishing je pravděpodobnostní hra kolem uživatelské aktivity", uvádí zpráva od Scam Sniffer.
Protože se tržní činnost na začátku roku 2026 opět zvyšuje – například kvůli náporu memecoinů a větší účasti malých investorem – se podvodníci opět objevují častěji. Proto je zvláště důležité být opatrný vůči phishingovým trikům a údaje peněženky vždy pečlivě zacházet.
