Fake MetaMask-„2FA“-Checks: Phishing-Kampagne zielt auf Seed Phrases von Wallet-Nutzern

• Eine neue Phishing-Welle tarnt sich als MetaMask-„2FA“-Sicherheitsprüfung und fordert Nutzer dazu auf, ihre Recovery Phrase einzugeben.
• Wer die Seed Phrase preisgibt, verliert in der Regel unmittelbar die Kontrolle über die Wallet, weil Angreifer damit die Assets abziehen können.

Eine neue Betrugswelle setzt auf ein altes Prinzip, nur mit frischer Verpackung. Angreifer geben sich als MetaMask aus und locken Nutzer in eine angebliche Zwei-Faktor-Sicherheitsprüfung. Das Ziel ist nicht ein Login, sondern das eine Stück Information, das alles öffnet: die Recovery Phrase.

Der Trick mit der „2FA“-Verifizierung führt auf Fake-Domains

Nach Angaben des Sicherheitsunternehmens SlowMist nutzen die Angreifer gefälschte Sicherheitswarnungen, die wie ein offizieller Check wirken sollen. Wer darauf klickt, wird auf betrügerische Domains umgeleitet. Dort erscheint eine angebliche Verifizierungsstrecke, die Nutzer auffordert, ihre Seed Phrase einzugeben, angeblich zur Bestätigung oder Wiederherstellung.

Das ist die entscheidende rote Linie. Eine Recovery Phrase ist kein Passwort, das man einmal ändern kann, wenn es schiefgeht. Sie ist der Generalschlüssel. Sobald sie in falsche Hände gerät, können Dritte die Wallet auf einem eigenen Gerät importieren und Transaktionen signieren. Für Betroffene wirkt das dann wie ein „Hack“, technisch ist es meist eine autorisierte Übertragung, nur eben durch den Dieb.

Warum Wallets niemals nach der Seed Phrase fragen

SlowMists Sicherheitschef warnte, dass nach dem Teilen der Wiederherstellungsphrase typischerweise unmittelbar Mittel abgezogen werden. Genau deshalb gilt die Faustregel, die sich seit Jahren nicht ändert: Kein seriöser Wallet-Anbieter, kein Protokoll und kein Support fragt nach der Seed Phrase, auch nicht im Rahmen von „Sicherheitschecks“.

Für Nutzer ist das unangenehm banal, aber praktisch. Jede Aufforderung, die Phrase irgendwo einzugeben, außerhalb der eigenen Wallet-App bei einer bewusst gestarteten Wiederherstellung, ist ein Alarmsignal. Im Zweifel gilt: Tab schließen, Domain prüfen, App direkt öffnen. Die zehn Sekunden extra sind oft der Unterschied zwischen Routine und Totalverlust.