Gebruikers van MetaMask, een van de meest gebruikte cryptowallets ter wereld, zijn opnieuw doelwit van een doordachte phishingcampagne. Aanvallers doen zich voor als officiële ondersteuning en misbruiken het vertrouwen om slachtoffers hun seed phrase te laten invoeren.
Oplichters versturen e-mails die nauwelijks te onderscheiden zijn van officiële beveiligingsmeldingen en doen alsof tweefactorauthenticatie (2FA) verplicht wordt.
Tip: Op 7 januari organiseert Crypto Insiders een grote eindejaarsquiz over het cryptojaar 2025. Hier doe je mee
Phishingcampagne: zo ging het in zijn werk
De aanval werd onder de aandacht gebracht door het blockchainbeveiligingsbedrijf SlowMist.
De link in de e-mail leidt naar een website die sterk lijkt op de officiële MetaMask-pagina. In een specifiek geval verschilde het webadres slechts één letter van het echte domein. Dat detail is makkelijk te missen, zeker wanneer er tijdsdruk wordt gesuggereerd.
Eenmaal op de website doorlopen gebruikers een nepbeveiligingsproces. In de laatste stap wordt gevraagd om de seed phrase, zogenaamd om de 2FA-verificatie af te ronden. Dat is een belangrijk onderdeel van de scam.
New #metamask phishing scam alert
Attackers are impersonating a “2FA security verification” flow, redirecting users via look-alike domains to fake security warnings with countdown timers and “authenticity checks.”
The final step asks for your wallet recovery phrase — once… pic.twitter.com/3bX9U1wZbs
— SlowMist (@SlowMist_Team) January 5, 2026
Seed phrase
De seed phrase is de hoofdsleutel van een wallet. Degene die deze woorden bezit, kan het account op een ander apparaat herstellen, transacties ondertekenen en tegoeden verplaatsen zonder verdere goedkeuring. Wachtwoorden, 2FA of apparaat toestemming zijn dan overbodig.
Walletproviders benadrukken daarom al jaren dat deze seed phrase nooit mag worden gedeeld.
Aanvallers maken misbruik van het vertrouwen dat gebruikers hebben in beveiligingstermen als 2FA. Door urgentie en technische geloofwaardigheid te combineren, blijven dit soort aanvallen effectief.
Totale schade door phishing daalt
Volgens Slowmist laat deze campagne zien hoe snel social engineering zich ontwikkelt, zelfs nu het totale bedrag aan phishing-verliezen in 2025 juist fors is gedaald. De totale schade door cryptophishing is in 2025 met ongeveer 83 procent gedaald tot zo’n 70 miljoen euro.
Een rapport van Scam Sniffer toonde aan dat phishingverliezen sterk gelijk liepen met marktactiviteit. In het derde kwartaal, tijdens een sterke prijsstijging van ethereum, werd ook het hoogste verlies gemeten.
Nu de cryptomarkt begin 2026 weer tekenen van leven vertoont, keren ook fraudeurs terug. Waakzaamheid en een kritische blik op e-mails en links blijven daarom essentieel voor iedereen die zijn crypto veilig wil houden.
Wil je jouw crypto beschermen? Het gebruik van VPN is een extra slot op de deur.
Het bericht Pas op: crypto-criminelen versturen mails die jouw cryptowallet plunderen verscheen eerst op Crypto Insiders.