Kumakalat ngayon ang bagong phishing scam na target ang mga MetaMask user, gamit ang sobrang realistic na “two-factor authentication (2FA)” flow para manakaw ang inyong wallet recovery phrase.
Pinapakita ng campaign na ito na lalong gumagaling na ang mga scammer pagdating sa social engineering tactics, kahit bumaba nang malaki ang mga nai-report na nalulugi sa crypto phishing attacks ngayong 2025.
Paano Nangyari ang MetaMask Phishing Scam
Itinampok ng CSO ng blockchain security firm na SlowMist ang scam na ‘to sa isang post niya sa X (dati itong Twitter). Ginagamit ng phishing operation na ‘to ang iba’t-ibang paraan ng panloloko para makompromiso ang mga wallet ng user.
Tumatanggap ang mga biktima ng email na kunwari galing mismo kay MetaMask Support, at sinasabing required na daw ang two-factor authentication. Ang email nila sobrang professional ang dating — gamit ang MetaMask fox logo at ang color motif ng platform.
Sinabi rin sa post na gumagamit ang mga attacker ng mga domain name na halos kapareho ng official website. Sa isang kaso, isang letra lang ang naiiba kaya kadalasan, hindi agad halatang scam yung website.
Kapag napunta na ang user sa phishing site, parang totoo talaga yung buong proseso ng security check. Sa huling step, hihingian na ng scam site ng inyong seed phrase, kunwari daw kailangan para matapos ang “2FA security verification.”
Dito na mangyayari ang mismong scam. Ang seed phrase ng wallet mo (tinatawag din na recovery phrase or mnemonic phrase), ‘yan ang master key ng wallet mo. Kung sino mang makakuha nito, puwede nilang:
- I-transfer ang mga laman ng wallet kahit hindi mo alam o pumapayag ka
- I-recreate ang wallet mo sa ibang device
- Kunin ang full control sa lahat ng related na private keys mo
- Magsign at mag-execute ng transaction kahit hindi ka kasali
Kapag nakuha na nila ang seed phrase mo, puwede na sila makapasok sa wallet mo kahit walang kailangan na password, two-factor authentication, o confirmation mula sa device mo. Kaya palaging pinapaalala ng mga wallet provider na huwag kailanman i-share ang seed phrase mo sa kahit sino, kahit ano pa ang dahilan.
Ang two-factor authentication, dapat sana proteksyon ito ng mga user. Pero sinasakyan ito ng mga attacker at ginagamit para mag-mukhang legit yung scam. Malakas ang epekto ng ganitong psychological tactics, lalo na pag pinagsama sa mga technical na pamaraan at pagmamadali.
Nangyayari ang scam na ‘to habang bumabagal ang mga losses dahil sa phishing. Nasa data na bumaba nang matindi ang mga lugi from crypto phishing nitong 2025, halos 83% ang binaba sa mga nasa $84 million kumpara sa halos $494 million noong nakaraang taon.
“Yung phishing losses nakadikit talaga sa activity ng market. Sa Q3, sabay ang matinding ETH rally at pinakamaraming nalugi sa phishing ($31M). Kapag malakas ang market activity, mas maraming user ang active — natural, mas marami rin ang nabibiktima, kasi probability game lang ang phishing depende sa dami ng user,” ayon sa report ng Scam Sniffer.
Ngayon na nagpapakita ng mga early signs of recovery ang market sa 2026, kasama na ang paglipad ng mga meme coin at lalo pang dami ng ordinaryong trader, muling nagsusulputan din ang mga scammer. Kaya, mahalaga pa rin ang awareness sa mga phishing modus at maging sobrang maingat sa paghawak ng wallet credentials mo.
