サイバー脅威分析会社のチェック・ポイント・リサーチ(CPR)は、主にPhantomとMetamaskのユーザーを対象とした最近のフィッシング・キャンペーンに関する注意喚起を行いました。キャンペーンは、Google広告を利用して検索結果に偽のウェブサイトを表示させ、ユーザーに鍵の提供や財布の作成を促すものです。現在のところ、50万ドルが正当なユーザーの財布から流用されたと推定されます。今回の攻撃は、ウォレットを作成する過程で実行されるという性質上、暗号領域への新規参入者が最も大きな影響を受けると考えられます。
サイバーセキュリティの脅威の中でも、悪意のある者は、最も人気のあるプラットフォームに力を注ぎます。Metamaskのピークユーザー数は1,035万人(2021年8月時点)で、フィッシングのターゲットとしてはかなりの規模になります。また、導入からすでに100万人のユーザーを登録しているPhantomも同様です。この手口は、これらのプラットフォームがブラウザのプラグインを利用しているようです。「Sushiswap」や「Cakeswap」などの他のDeFiアプリも、同様の理由でこの種の悪質な行為の被害者となっているので注意が必要です。
誤って一番上の検索結果をクリックすると、ユーザーはフィッシングサイトに誘導されます。このフィッシングサイトでは、実際のプラットフォームのウェブアドレスにごくわずかな変更(例えば、phantomではなくphantonnなど)を加えることで、わかりやすく表示されます。その後、ユーザーは偽のウォレット作成プロセスに誘導されますが、実際には、攻撃者のウォレットへのアクセスをユーザーに提供しているに過ぎません。ウォレットのセットアッププロセスが完了すると、このフィッシング攻撃はユーザーを実際のWebサイトに誘導し、そこでウォレット拡張機能のインストールを促します。ユーザーは、「生成された」ウォレットアドレスのパスフレーズを入力すると、実際に悪質業者のウォレットに接続されます。ユーザーがウォレットに送金した資金は、すぐに悪質業者の管理下にある別のウォレットに移されます。
Phantomのフィッシング・スキームは、新しい財布の作成に焦点を当てていますが、Metamaskのフィッシング攻撃は、実際にユーザーの秘密鍵を盗むことができるという点で異なります。偽のウォレットを作成できるだけでなく、被害者は既存のMetamaskウォレットをインポートするよう促されますが、そうするとすぐに既存の資金すべてにアクセスできるようになります。
暗号資金を盗む独創的な方法はこれまでにもありましたが、今回の詐欺に関しては、注意深いユーザーであれば、こうした試みを簡単に回避することができます。クリックするURLを常に再確認し、広告リンクを介して暗号や銀行関連のページにアクセスしないようにしてください。ブラウザのURLは一番の味方です。重要な情報が含まれている可能性のあるシナリオでは、URLを監視するのが良いでしょう。CPRでは、このフィッシング手法を紹介するYouTube動画を公開していますので、ぜひご覧ください。