Команда специалистов по кибербезопасности ScamSniffer обнаружила новую утонченную тактику, применяемую злоумышленниками для хищения сид-фраз пользователей популярного крипто-кошелька Phantom Wallet. Преступники начали использовать вредоносные всплывающие уведомления, искусно маскируемые под легитимные запросы на «обновление расширения». После согласия пользователя атакующие запрашивают ввод секретной фразы, что предоставляет им неограниченный доступ к средствам жертвы.
Ранее подобные мошеннические схемы ограничивались созданием поддельных веб-сайтов, копирующих интерфейс Phantom Wallet. В связи с этим эксперты ScamSniffer настоятельно рекомендуют никогда не разглашать свою сид-фразу и выполнять обновления исключительно через официальный Chrome Web Store.
Чтобы помочь пользователям различать подлинные и фальшивые всплывающие окна, эксперты предложили несколько проверочных методов. Аутентичные окна Phantom Wallet функционируют как системные элементы — их можно сворачивать, разворачивать и изменять размер. Поддельные же остаются привязанными к браузерной вкладке без возможности манипуляций.
Дополнительным способом верификации является проверка поведения ссылок: нажатие правой кнопкой мыши отключено на большинстве фишинговых страниц, чтобы предотвратить анализ URL. Настоящие окна такого ограничения не имеют. Критически важным моментом является также проверка адресной строки — оригинальные всплывающие окна содержат уникальный префикс chrome-extension://, который невозможно скопировать фальсификаторам.