암호화폐 지갑 메타마스크(MetaMask)는 사용자들이 2단계 인증(2FA) 보안 검증을 사칭한 피싱 사기에 피해를 입었다고 발표하며, 사용자들에게 주의를 당부했습니다. 가짜 이메일은 메타마스크 사용자들에게 2026년 1월 4일까지 2단계 인증dent를 업데이트하지 않으면 주요 지갑 기능 이용이 제한될 것이라고 경고했습니다.
블록체인 보안 회사 슬로우미스트(SlowMist)의 파트너이자 최고정보보안책임자(CISO)인 23pds는 1월 5일 이른 아침 소셜 미디어를 통해 이 피싱 공격에 대한 경고를 처음으로 발표한 업계 주요 오피니언 리더(KOL) 중 한 명입니다. 이 보안 연구원은 또한 메타마스크(MetaMask) 사용자들에게 암호화폐 지갑 회사에서 보낸 이메일을 처리할 때 주의를 기울일 것을 당부했습니다.
MetaMask 보안 페이지를 사칭한 사기꾼들이 사용자들을 속여 2단계 인증 절차를 완료하도록 유도한 후, 실제 목적은 지갑의 니모닉 구문을 탈취하는 것이었습니다. 사기 수법은 가짜 보안 경고 페이지, 2단계 인증 인터페이스, 카운트다운 메시지 링크를 만들어 유포하고, 최종적으로 사용자에게 지갑의 니모닉 구문을 입력하도록 요구하는 방식으로 진행되었습니다.
메스카우스카스는 메타마스크 2FA 사기를 피하는 방법을 설명합니다
악성코드 연구원이자 인터넷 보안 전문가인 토마스 메스카우스카스는 발표했습니다 . 이 보고서에서 메타마스크는 발신자의 이메일 주소를 비롯한 여러 세부 사항을 항상 확인하고 검증할 것을 권고했습니다. 특히, 합법적으로 보이는 회사에서 온 이메일이라도 맹목적으로 신뢰하지 말라고 경고했습니다.
작년에 호주의 사이버 보안 서비스 제공업체인 MailGuard는 의 피싱 dent 하고 차단했습니다 . 해당 이메일은 수신자에게 계정이 일시적으로 비활성화되는 것을 방지하기 위해 2단계 인증(2FA)을 즉시 활성화하라고 요구했습니다.
MailGuard는 교묘하게 작성된 이메일 하나만으로도 사기꾼들이 사용자의 민감한 데이터를 탈취하거나 악성코드 첨부 파일 및 링크를 유포할 수 있다고 경고했습니다. 이 보안 업체는 MetaMask에서 보낸 것으로 추정되는 이러한 이메일을 수신한 모든 사용자에게 암호화폐 자산을 보호하기 위해 즉시 삭제할 것을 권고했습니다.
MetaMask는 2022년 애플 클라우드 스토리지 보안 취약점 사태 이후 여러 차례 유사한 공격을 경험했으며, 당시 소셜 미디어에 자금 도난 신고가 확산되었습니다 . ConsenSys가 지원하는 이 암호화폐 지갑은 도난당한 디지털 자산이 132.86 ETH(약 402,980달러) 상당의 NFT와 25만 달러 이상의 APE(Apecoin)를 포함하여 총 65만 달러 이상의 손실을 입었다고 밝혔습니다.
MetaMask는 선제적인 피싱 방지 조치가 필요합니다
블록체인 보안 회사인 할본(Halborn)의 사이버 보안 팀은 앞서 메타마스크(MetaMask)를 비롯한 암호화폐 관련 기업들에게 피싱 공격 관리를 위한 프로세스를 사전에 구축할 것을 촉구한 바 있다. 할본에 따르면, 모든 피싱 이메일을 탐지하는 것은 불가능하기 때문에 암호화폐 기업들은 이러한 프로세스를 반드시 갖춰야 한다.
메타마스크 와 같은 기업들이 dent 공격이 확인되는 즉시 대응에 나서 dent 것이 중요하다고 강조했습니다 dent 대규모 공격과 단순한 사건 발생 사이의 큰 차이를 만들 수 있다고 덧붙였습니다
한편, 할본 사이버 보안팀은 메타마스크 사용자들에게 공식 플랫폼을 통해 2단계 인증(2FA) 또는 다단계 인증(MFA)을 항상 활성화하고 최신 상태로 유지하는 습관을 들일 것을 촉구했습니다. 또한 이메일 보안 시스템이 잠재적인 피싱 공격을 탐지하고 차단하는 데 도움이 되며, 다단계 인증을 사용하면dent증명 유출로 인한 피해를 최소화할 수 있다고 강조했습니다.
메타마스크 지원팀은 지갑이 구글이나 애플 계정에 연결되어 있더라도 회사에서 임의의 확인 이메일을 절대 보내지 않는다고 사용자들에게 알렸습니다. 또한 회사에서 사용자에게 애플이나 구글 계정 정보를 요구하지 않는다고 명확히 밝혔습니다.
MetaMask는 또한 지원팀을 통해 특별 요청이 없는 한 사용자에게 이메일로 먼저 연락하지 않으며, 연락할 수도 없다고 강조했습니다. 어떤 상황에서도 사용자에게 비밀 복구 문구를 요구하지 않는다고 단호하게 밝혔습니다.
