Riscos crescentes de engenharia social expostos pela última campanha de phishing do metamask usando 2FA falso

Uma nova vaga de golpes em criptomoedas está a emergir, e uma operação recente de phishing no MetaMask mostra como os atacantes agora imitam ferramentas de segurança confiáveis para roubar fundos.

Campanha de falsificação de 2FA polida direcionada a utilizadores do MetaMask

Uma campanha de fraude sofisticada direcionada aos utilizadores do MetaMask está a explorar verificações falsas de autenticação de dois fatores para recolher frases de recuperação de carteiras. Além disso, o golpe de phishing do MetaMask ilustra como a engenharia social focada em criptomoedas está a evoluir rapidamente em 2025.

Pesquisadores de segurança relatam que esta campanha usa um fluxo convincente de múltiplas etapas para enganar os utilizadores e fazer com que insiram as suas frases de semente. No entanto, enquanto as perdas globais por phishing em criptomoedas caíram acentuadamente em 2025, as táticas subjacentes tornaram-se mais polidas e muito mais difíceis de detectar.

Especialistas descrevem uma mudança clara de spam bruto e genérico para uma impersonação cuidadosamente desenhada. Os atacantes agora combinam branding familiar, precisão técnica e pressão psicológica para parecer legítimos. Dito isto, o resultado final permanece o mesmo: uma mensagem com aparência rotineira que pode permitir o controlo total da carteira em minutos, assim que a vítima cumprir.

Como a fraude está estruturada

A campanha foi inicialmente destacada pelo diretor de segurança da SlowMist, que partilhou um aviso detalhado no X. Segundo este relatório, os emails de phishing são elaborados para assemelhar-se a comunicações oficiais do Suporte MetaMask e afirmam que os utilizadores devem ativar a autenticação de dois fatores obrigatória.

As mensagens espelham de perto a identidade visual do fornecedor da carteira, usando o conhecido logótipo da raposa, a paleta de cores e o layout da página que os utilizadores reconhecem. Além disso, os atacantes prestam atenção especial à tipografia e ao espaçamento, o que ajuda os emails a passarem como genuínos à primeira vista.

Um elemento crítico da enganação é a configuração do domínio. Em incidentes documentados, o site de phishing usou um endereço web falso que diferia do verdadeiro domínio do MetaMask por uma única letra. Esta pequena variação, muitas vezes descrita como um ataque de spoofing de domínio do metamask, é extremamente fácil de passar despercebida, especialmente em telas pequenas de dispositivos móveis ou quando os utilizadores folheiam mensagens distraídos.

Assim que uma vítima toca no link embutido, é redirecionada para um site que imita meticulosamente a interface original do MetaMask. No entanto, apesar da sua aparência polida, trata-se de uma interface clonada controlada inteiramente pelos atacantes.

O fluxo falso de 2FA e o roubo da frase de semente

No site de phishing, os utilizadores são conduzidos por um procedimento de segurança que parece padrão, passo a passo. Cada página reforça a impressão de que o processo é rotineiro e existe para proteger a carteira. Além disso, o design reutiliza ícones familiares e linguagem associada a verificações de segurança legítimas.

Na etapa final, o site instrui os utilizadores a inserir a sua frase de semente completa, apresentada como um requisito obrigatório para “completar” a configuração de dois fatores. Esta é a fase decisiva do golpe, quando uma simples entrada de dados pode entregar controlo total da carteira.

Uma frase de semente, também conhecida como frase de recuperação ou mnemónica, funciona como a chave mestra de uma carteira não custodial. Com essa frase, um atacante pode recriar a carteira em qualquer dispositivo compatível, transferir todos os fundos e assinar transações sem necessidade de aprovação adicional. Dito isto, mesmo passwords fortes, camadas extras de autenticação e confirmações de dispositivo tornam-se irrelevantes uma vez que a frase de recuperação é comprometida.

Por essa razão, os fornecedores legítimos de carteiras reforçam repetidamente que os utilizadores nunca devem partilhar frases de recuperação com ninguém, em qualquer contexto. Além disso, nenhuma equipa de suporte genuína ou sistema de segurança solicitará a frase de semente completa por email, pop-up ou formulário no site.

Por que a autenticação de dois fatores é usada como isco

O uso de uma configuração falsa de dois fatores é uma tática psicológica deliberada. A autenticação de dois fatores é amplamente percebida como sinónimo de proteção mais forte, o que instintivamente reduz a suspeita. No entanto, quando este conceito confiável é reutilizado, torna-se uma ferramenta poderosa de engano.

Ao combinar uma narrativa de segurança familiar com urgência e uma interface profissional, os atacantes criam uma ilusão convincente de segurança. Mesmo utilizadores experientes em criptomoedas podem ser apanhados de surpresa quando o que parece ser um processo de verificação padrão é, na realidade, um ataque de phishing de frase de recuperação.

A operação contínua de phishing no MetaMask também surge num contexto de atividade de mercado renovada no início de 2026. Durante este período, os analistas observaram rallies energéticos de memecoin e um aumento claro na participação do retalho. Além disso, esta nova vaga de interesse dos utilizadores está a expandir o grupo de potenciais vítimas.

À medida que a atividade aumenta, os atacantes parecem estar a mudar de spam de alto volume e baixo esforço para esquemas menos frequentes, mas muito mais refinados. A última campanha focada no MetaMask sugere que futuras ameaças dependerão menos de escala e mais de credibilidade e qualidade de design.

Implicações para a segurança em criptomoedas e proteção do utilizador

Para os utilizadores do MetaMask e de outras carteiras não custodiais, o episódio reforça vários princípios de segurança de longa data. Primeiro, atualizações de segurança genuínas não requerem a inserção de uma frase de semente num formulário web. Além disso, qualquer mensagem inesperada que exija ação urgente deve ser tratada com suspeita e verificada através de canais oficiais.

Profissionais de segurança aconselham os utilizadores a verificar os URLs caractere por caractere antes de inserir informações sensíveis, especialmente quando um email ou notificação contém links incorporados. Dito isto, marcar os domínios oficiais das carteiras e acessá-los apenas através desses favoritos pode reduzir significativamente a exposição a sites falsificados.

Os especialistas também incentivam uma educação mais ampla sobre como funcionam as fraudes de engenharia social em criptomoedas. Compreender as alavancas emocionais frequentemente usadas nestas operações, como urgência, medo de perder a conta ou promessas de proteção reforçada, pode ajudar os utilizadores a pausar antes de agir.

Por fim, o caso mostra que ferramentas de segurança tradicionais, incluindo a própria autenticação de dois fatores, não são suficientes por si só. Além disso, os utilizadores precisam de combinar salvaguardas técnicas com uma compreensão clara de como essas ferramentas devem e não devem funcionar na prática.

Resumindo, a campanha de phishing de 2FA do MetaMask destaca uma tendência mais ampla na segurança em criptomoedas: menos golpes brutos, mais armadilhas convincentes. Com 2025 e 2026 a trazerem uma atividade de mercado renovada, a vigilância constante, verificações cuidadosas de URLs e a proteção rigorosa das frases de recuperação continuam a ser defesas essenciais contra esquemas de controlo de carteiras em evolução.