Er is een nieuwe phishing-scam die zich richt op MetaMask-gebruikers. Hierbij worden heel realistische “twee-factor-authenticatie (2FA)” stappen gebruikt om de herstelzin van je wallet te stelen.
Deze campagne laat zien dat social engineering-trucs steeds slimmer worden, ook al zijn volgens de meldingen de verliezen door cryptocurrency phishing-aanvallen in 2025 flink gedaald.
SponsoredAnatomie van de MetaMask-phishingscam
De CSO van blockchain-beveiligingsbedrijf SlowMist gaf op X (voorheen Twitter) uitleg over deze scam. Bij deze phishingmethode worden verschillende vormen van misleiding gebruikt om wallets van gebruikers te hacken.
Slachtoffers ontvangen e-mails die lijken te komen van MetaMask Support. In deze mails wordt gemeld dat twee-factor-authenticatie verplicht is. De e-mails zien er professioneel uit en gebruiken het MetaMask vos-logo en de kleuren van het bedrijf.
Uit het bericht blijkt dat de aanvallers domeinen gebruiken die bijna hetzelfde zijn als de officiële website. In het getoonde voorbeeld verschilt het nep-domein maar één letter, zodat het moeilijk te herkennen is.
Als gebruikers op de phishing-site komen, worden ze stap voor stap meegenomen in wat lijkt op een betrouwbare beveiligingscheck. In de laatste stap wordt gevraagd om hun herstelzin in te vullen, zogenaamd om de “2FA-beveiligingsverificatie” af te ronden.
Dit is het belangrijkste moment van de oplichting. Een herstelzin van een wallet (ook wel seed phrase of geheugenzin genoemd) is de hoofdsleutel tot de wallet. Iedereen die deze zin heeft kan:
- Geld overmaken zonder toestemming of medeweten van de eigenaar
- De wallet opnieuw aanmaken op een ander apparaat
- Volledige controle krijgen over alle gekoppelde private keys
- Zélf transacties ondertekenen en uitvoeren
Als iemand een herstelzin doorgeeft, kan die persoon de wallet direct benaderen zonder wachtwoord, zonder twee-factor-authenticatie en zonder goedkeuring via een device. Daarom waarschuwen wallet-aanbieders altijd: deel je herstelzin nooit met anderen.
SponsoredTwee-factor-authenticatie is juist bedoeld om gebruikers te beschermen, maar de oplichters misbruiken het vertrouwen hierin om mensen te misleiden. Door psychologie, slimme trucs en tijdsdruk is deze aanpak nog steeds heel gevaarlijk.
Deze scam komt op een moment dat phishing-verliezen juist zijn afgenomen. Uit cijfers blijkt dat de schade door crypto-phishing in 2025 met ongeveer 83% is gedaald naar rond de $84 miljoen, terwijl dat het jaar ervoor nog bijna $494 miljoen was.
“Phishingverliezen volgden het marktgedrag op de voet. In het derde kwartaal kwamen de sterkste ETH-rally én de hoogste phishingverliezen ($31 miljoen) voor. Als de markt actiever wordt, doen meer gebruikers mee — en een percentage wordt slachtoffer. Phishing is dus een kansspel, gebaseerd op het gebruikersaantal,” aldus een rapport van Scam Sniffer.
Nu de marktactiviteit begin 2026 weer tekenen van herstel laat zien, met onder andere meme coin-rally’s en meer deelname van particuliere beleggers, zijn oplichters ook weer actiever. Waakzaamheid voor phishingmethodes en voorzichtig omgaan met wallet-gegevens blijven daarom extra belangrijk.
