- Ethereum-кошелек MetaMask предупредил своих пользователей о фишинговой схеме, использующей резервные данные приложения.
- Пользователей криптовалют еще раз предупредили, чтобы они не сообщали свои учетные данные, проверочные коды и другую личную информацию.
Поставщик криптовалютных кошельков Metamask предупредил криптосообщество о фишинговых атаках, которые проводятся на устройства Apple. Для пользователей iPhone, Mac или iPad стандартные настройки предусматривают резервное копирование данных приложений в iCloud. Именно на это и рассчитывают злоумышленники.
В частности, для MetaMask автоматическое резервное копирование отправляет в iCloud начальную фразу пользователя или «зашифрованное паролем хранилище MetaMask». С поддельными учетными данными iCloud злоумышленник может увидеть это хранилище и попытаться получить к нему доступ, используя несколько паролей. Если парольная фраза «недостаточно надежна», пользователь рискует потерять все цифровые активы, хранящиеся в MetaMask.
Уязвимость в безопасности кошелька MetaMask для пользователей Apple
Примечательно, что провайдер кошельков, принадлежащий ConsenSys, поделился информацией о проблеме безопасности после недавнего случая кражи. Три дня назад коллекционер НФТ и пользователь Твиттера «revive_dom» написал в Твиттере, что весь его кошелек был стерт. В нем было криптовалют и НФТ на сумму 650 000 долларов. Пользователь Twitter «Serpent», который также является основателем проекта DAPE NFT, также помог привлечь внимание MetaMask, подробно рассказав об этой истории своим 277 0000 подписчикам.
По словам «Serpent», жертва получила несколько сообщений с просьбой сбросить пароль Apple ID. Он также получил звонок (который, как он позже узнал, был поддельным) от Apple. Ничего не подозревая, жертва передала шестизначный проверочный код, чтобы доказать, что она является владельцем учетной записи Apple. Затем мошенники повесили трубку и продолжили получать доступ к его аккаунту MetaMask, используя данные, хранящиеся в iCloud.
MetaMask попросил своих пользователей (21М+ ежемесячных пользователей) отключить резервные копии iCloud для цифрового кошелька. «serpent» еще раз повторил криптосообществу то, что уже стало базой, но все еще игнорируется:
«Никогда и никому не сообщайте проверочные коды» и «Такие компании, как Apple, никогда вам не позвонят».
Кроме того, он призвал владельцев цифровых активов «ВСЕГДА» хранить свои ценности в холодных кошельках. Сторонники этого аргумента говорят, что пользователи должны использовать «горячие» кошельки только после большого усердия.
Кто виноват: Пользователь, кошелек или Apple?
Но даже в этом случае недавние события показали, что даже аппаратные кошельки имеют определенную степень уязвимости. Провайдеры кошельков Trezor и Ledger столкнулись с попыткой фишинга и массовой утечкой данных, соответственно.
Между тем, расстроенный «revice_dom» обвиняет как кошелек на базе Ethereum, так и компанию Apple в том, что они не проинформировали пользователей об автоматическом резервном копировании:
Я не говорю, что они не должны этого делать, но они должны сказать нам об этом. Не надо говорить нам, чтобы мы никогда не хранили наши семенные фразы в цифровом виде, а потом делать это за нашей спиной. Если бы 90% людей знали об этом, я бы поспорил, что никто из них не включил бы приложение или iCloud.
