Pengungkapan Penipuan Phishing Baru MetaMask: Palsu 2FA Mengarahkan Input Frasa Pemulihan, Celah-Celah Ini Bisa Menyelamatkan Anda

Belakangan ini, pengguna MetaMask menghadapi jenis penipuan phishing baru yang sangat menyamar. Berdasarkan berita terbaru, perusahaan keamanan blockchain SlowMist memperingatkan bahwa penyerang sedang memanfaatkan kedok “mengaktifkan otentikasi dua faktor (2FA)” untuk memancing pengguna secara aktif mengungkapkan seed phrase dompet mereka. Jenis penipuan ini telah menyebabkan kerugian nyata, termasuk pencurian ratusan dompet EVM dan lebih dari 10.000 dolar AS dicuri. Masalah utama adalah: seberapa mirip penipuan ini dengan yang asli, apakah Anda bisa mengenalinya?

Metode Penipuan: Langkah demi Langkah Menuju Jerat

Proses penipuan lengkap

Skema penyerang dibagi menjadi empat langkah:

• Langkah pertama: Mengirim email palsu. Korban menerima email yang tampaknya berasal dari MetaMask resmi, berisi logo merek dan tips keamanan, mengklaim perlu segera mengaktifkan 2FA untuk “melindungi keamanan aset”
• Langkah kedua: Membuat rasa mendesak. Email dilengkapi dengan pengingat hitung mundur, memancing pengguna untuk cepat mengklik tombol “Aktifkan Sekarang” di bawah tekanan
• Langkah ketiga: Mengarahkan ke halaman palsu. Setelah mengklik tautan, pengguna diarahkan ke halaman tiruan yang dibuat penyerang, tampilannya hampir tidak bisa dibedakan
• Langkah keempat: Menipu pengguna untuk memasukkan seed phrase. Halaman palsu meminta pengguna menyelesaikan proses verifikasi 2FA yang disebut-sebut, padahal tujuannya hanya satu—mencuri seed phrase

Mengapa kebocoran seed phrase paling berbahaya

Di sini perlu ditegaskan satu hal: seed phrase setara dengan hak akses tertinggi ke dompet. Jika bocor, penyerang dapat dengan cepat memindahkan aset, dan hampir tidak bisa dilacak kembali. Ini bukan akun yang dibekukan, tetapi kehilangan kendali total atas dompet.

Mengidentifikasi Celah Penipuan

Meskipun email phishing ini sangat canggih dalam menyamar, tidak sempurna. Berdasarkan analisis petugas keamanan, terdapat perbedaan kecil namun penting pada halaman dan email penipuan:

Prinsip Perlindungan Terpenting

Sikap resmi MetaMask

Perlu ditekankan: MetaMask resmi tidak akan pernah meminta pengguna melakukan verifikasi akun, mengaktifkan fitur keamanan, atau memasukkan seed phrase melalui email. Setiap permintaan semacam itu hampir pasti penipuan.

Apa yang harus dilakukan pengguna

• Jangan pernah mengungkap seed phrase ke situs web atau email manapun, apapun alasannya
• Selalu peroleh pembaruan dompet dan informasi keamanan melalui saluran resmi
• Waspadai email yang tidak dikenal, terutama yang berkaitan dengan verifikasi keamanan
• Periksa izin dompet secara rutin, gunakan alat seperti Rabby untuk audit risiko izin
• Untuk aset besar, pertimbangkan migrasi ke dompet perangkat keras (seperti Ledger, Trezor)

Latar belakang yang lebih besar: Penipuan phishing yang meningkat

Ini bukan kejadian tunggal. Baru-baru ini, pengguna kripto terus mengalami serangan phishing dan malware, termasuk pembaruan aplikasi MetaMask palsu, ekstensi browser Trust Wallet yang disusupi kode berbahaya, serta penyebaran aplikasi Eternl Desktop palsu yang menargetkan pengguna Cardano. Serangan ini mencakup berbagai jaringan kompatibel EVM, dengan jumlah korban yang luas.

Menariknya, berdasarkan data terbaru, kerugian total akibat penipuan phishing cryptocurrency pada tahun 2025 menurun hampir 88% dibandingkan tahun sebelumnya. Tapi ini tidak berarti ancaman hilang, melainkan metode serangan menjadi lebih halus dan “dapat dipercaya”. Dengan kata lain, tingkat keberhasilan mungkin meningkat.

Ringkasan

Insiden phishing MetaMask ini mengingatkan kita akan tiga poin inti:

Pertama, seed phrase adalah nyawa dompet Anda, jika bocor berarti kehilangan kendali total. Tidak ada alasan yang cukup untuk mengambil risiko ini.

Kedua, pihak resmi tidak akan pernah secara aktif meminta Anda melakukan verifikasi. Jika menerima email semacam itu, tenang dulu, periksa di situs resmi atau media sosial, jangan klik tautan di email.

Ketiga, perlindungan harus berlapis. Selain waspada, gunakan alat profesional (seperti dompet Rabby, Revoke.cash) untuk audit izin secara rutin, dan gunakan dompet perangkat keras untuk aset besar. Dalam dunia blockchain, menjaga “paranoia korban” justru merupakan pilihan yang rasional.