Una nuova truffa di phishing si è rivolta agli utenti di MetaMask. Gli aggressori utilizzano un processo di autenticazione a due fattori apparentemente autentico per rubare la frase di recupero dei portafogli.
Questa campagna dimostra che la manipolazione sociale diventa sempre più sofisticata, anche se i danni segnalati da attacchi di phishing nel settore cripto sono calati notevolmente nel 2025.
Come funziona il trucco di phishing di MetaMask
Il responsabile della sicurezza di SlowMist, un'azienda specializzata in sicurezza blockchain, ha descritto il trucco in un recente post su X. In questo attacco ci sono diverse fasi di inganno per prendere il controllo dei portafogli degli utenti.
Le vittime ricevono email che sembrano provenire dal supporto di MetaMask. In queste email si afferma che l'autenticazione a due fattori è ora obbligatoria. I truffatori utilizzano un design professionale, ad esempio il logo del furetto e i colori di MetaMask.
Inoltre si è scoperto che gli aggressori utilizzano domini che assomigliano quasi perfettamente al sito web ufficiale di MetaMask. In un caso, differivano solo per un singolo carattere, rendendo quasi impossibile per gli utenti notare la differenza.
Se gli utenti cliccano sulla pagina falsa, inizialmente non notano alcuna differenza. Vengono guidati passo dopo passo attraverso un processo di sicurezza apparentemente serio. Alla fine devono fornire la loro frase seed, suppostamente per completare la «verifica di sicurezza 2FA».
Questo è il momento cruciale del trucco. La frase seed di un portafoglio (nota anche come frase di recupero o frase mnemonica) è la chiave principale del portafoglio. Chi la conosce può:
Trasferire monete senza conoscenza o consenso del proprietario
Ripristinare il portafoglio su un altro dispositivo
Avere pieno controllo su tutti i chiavi private del portafoglio
Firmare e eseguire autonomamente le transazioni
Chi conosce questa frase seed può accedere al portafoglio – senza password, autenticazione a due fattori o condivisione del dispositivo. Per questo motivo i fornitori di portafogli avvertono costantemente: non condividere mai la tua frase seed con nessuno.
Anche se l'autenticazione a due fattori è pensata per proteggere gli utenti, gli attaccanti sfruttano la buona reputazione per ingannare. Questa strategia psicologica, combinata con trucchi tecnici e pressione temporale, rimane estremamente pericolosa.
Il trucco avviene in un periodo in cui i perdite da phishing in generale stanno diminuendo. I dati mostrano che le perdite da phishing cripto nel 2025 sono calate drasticamente – del circa 83% a circa 84 milioni di USD. L'anno precedente erano quasi 494 milioni di USD.
«I perdite da phishing sono strettamente correlate ai movimenti del mercato. Nel terzo trimestre si è avuta sia la più forte ripresa di ETH che i maggiori perdite da phishing (31 milioni di USD). Quando sul mercato accade molto, aumentano anche le attività degli utenti, e una parte di esse diventa vittima – il phishing è una questione di probabilità legata all'attività degli utenti», afferma nel rapporto di Scam Sniffer.
Poiché l'attività di mercato è aumentata all'inizio del 2026 – in parte grazie alle riprese di Memecoin e all'aumento della partecipazione di piccoli investitori – anche i truffatori sono ricomparsi più frequentemente. Per questo motivo è particolarmente importante rimanere vigili di fronte ai trucchi di phishing e trattare sempre i dati del portafoglio con cautela.
