MetaMask यूज़र्स को टार्गेट करते हुए एक नया फिशिंग स्कैम तेजी से फैल रहा है, जिसमें बहुत ही रियलिस्टिक “टू-फैक्टर ऑथेंटिकेशन (2FA)” फ्लो का इस्तेमाल किया जा रहा है, ताकि वॉलेट रिकवरी फ्रेज़ चुराई जा सके।
यह कैंपेन सोशल इंजीनियरिंग ट्रिक्स में बढ़ती समझदारी को दिखाता है, भले ही 2025 में क्रिप्टोकरेंसी फिशिंग अटैक्स से रिपोर्टेड नुकसान काफी कम हो गए हैं।
ब्लॉकचेन सिक्योरिटी फर्म SlowMist के CSO ने हाल ही में X (पहले Twitter) पर इस स्कैम के बारे में बताया। यह फिशिंग ऑपरेशन यूज़र्स के वॉलेट को कंप्रोमाइज करने के लिए कई लेयर्स की धोखाधड़ी अपनाता है।
पीड़ितों को ऐसे ईमेल मिलते हैं जो देखने में MetaMask सपोर्ट से आए हुए लगते हैं, जिसमें 2FA अनिवार्य होने की जानकारी दी जाती है। ईमेल में प्रोफेशनल ब्रांडिंग होती है, जिसमें MetaMask का फॉक्स लोगो और कलर स्कीम भी शामिल है।
पोस्ट में यह खुलासा हुआ कि हमलावर ऐसे डोमेन का इस्तेमाल कर रहे हैं, जो ऑफिशियल डोमेन से काफी मिलते-जुलते हैं। एक केस में नकली डोमेन केवल एक अक्षर से अलग था, जिसे पहली नजर में पहचानना बहुत मुश्किल था।
एक बार जब यूज़र्स फिशिंग साइट पर पहुंचते हैं, तो उन्हें ऐसी सिक्योरिटी प्रोसेस से गाइड किया जाता है जो देखने में पूरी तरह असली लगता है। आखिर में, उनसे “2FA सिक्योरिटी वेरिफिकेशन” के नाम पर उनका सीड फ्रेज़ डालने के लिए कहा जाता है।
यही इस स्कैम का सबसे बड़ा ट्रैप है। वॉलेट का सीड फ्रेज़ (जिसे रिकवरी फ्रेज़ या मन्नेमोनिक फ्रेज़ भी कहते हैं) वॉलेट की मास्टर-की होती है। जिसके पास भी ये होगा, वह:
- ओरिजिनल ओनर की परमिशन या जानकारी के बिना फंड्स ट्रांसफर कर सकता है
- वॉलेट को किसी दूसरे डिवाइस पर फिर से बना सकता है
- सभी प्राइवेट कीज़ पर पूरा कंट्रोल पा सकता है
- सारे ट्रांजैक्शंस पर खुद से साइन और एक्जीक्यूट कर सकता है
अगर कोई आपका सीड फ्रेज़ जान ले, तो वह पासवर्ड, 2FA या किसी डिवाइस अप्रूवल के बिना वॉलेट एक्सेस कर सकता है। इसी वजह से वॉलेट प्रोवाइडर हमेशा सलाह देते हैं कि सीड फ्रेज़ कभी भी किसी के साथ शेयर ना करें, चाहे कोई भी हालात हो।
जहाँ टू-फैक्टर ऑथेंटिकेशन यूज़र्स को प्रोटेक्ट करने के लिए बनाया गया है, वहीं हमलावर इसी टूल का नाम लेकर लोगों को चकमा देते हैं। ये साइकोलॉजिकल ट्रिक और टेक्निकल चाल के साथ जल्दबाज़ी का माहौल बनाकर बड़ा खतरा बन जाता है।
यह स्कैम फिशिंग से जुड़ी नुक़सान में आई संपूर्ण मंदी के बीच सामने आया है। डेटा के अनुसार 2025 में क्रिप्टोकरेन्सी फिशिंग से हुए नुकसान में तेज़ गिरावट आई है, जो करीब 83% कम होकर लगभग $84 मिलियन रह गया, जबकि पिछले साल यह लगभग $494 मिलियन था।
“फिशिंग के कारण हुए नुकसान मार्केट एक्टिविटी के साथ करीब से जुड़े रहते हैं। Q3 में सबसे मजबूत ETH रैली और सबसे ज्यादा फिशिंग लॉसेस ($31M) देखे गए। जब मार्केट एक्टिव होता है, तब ओवरऑल यूजर एक्टिविटी भी बढ़ती है और इसी में से कुछ प्रतिशत यूजर्स फिशिंग का शिकार हो जाते हैं — फिशिंग यूजर एक्टिविटी के प्रॉबेबिलिटी फंक्शन की तरह काम करता है,” Scam Sniffer की रिपोर्ट में कहा गया।
जैसे ही 2026 की शुरुआत में मार्केट एक्टिविटी में रिकवरी के शुरुआती संकेत दिख रहे हैं, जिनमें मीम कॉइन रैली और रिटेल पार्टिसिपेशन के बढ़ने के संकेत शामिल हैं, वैसे ही अटैकर्स भी फिर से एक्टिव हो रहे हैं। ऐसे में फिशिंग के तरीकों को समझना और वॉलेट क्रेडेंशियल्स को सावधानी से संभालना बहुत ज़रूरी हो जाता है।
