-
Lopp advierte que correos, llamadas, SMS y chats son vectores de ataque.
-
El ataque abusó de formularios reales de Google y alojó el destino en su infraestructura.
Un atacante intentó engañar a Jameson Lopp, famoso desarrollador de Bitcoin y conocido por su trabajo en materia de privacidad y seguridad, con una técnica de phishing que abusa de formularios reales de recuperación de cuenta de Google para insertar un enlace malicioso, con el sitio de destino también alojado en infraestructura de Google, según relató el propio Lopp en X el 17 de mayo. A partir del episodio, Lopp advirtió que ninguna comunicación entrante debe considerarse confiable.
El phishing es una técnica en la que un atacante suplanta la identidad de un servicio legítimo para que la víctima entregue información sensible o acceda a un sitio malicioso, habitualmente se detecta porque los enlaces o dominios involucrados no pertenecen al servicio que imitan. En este caso, según Lopp, tanto el formulario de origen como el sitio de destino del ataque estaban alojados en infraestructura real de Google, lo que elimina las señales de alerta más comunes.
Tras describir el intento de ataque, Lopp recomendó ignorar cualquier tipo de comunicación e ir directamente al sitio o servicio en cuestión para verificar si existe un problema real.
No confíes en correos electrónicos, no confíes en llamadas telefónicas, no confíes en SMS, no confíes en mensajes de chat, no confíes en comunicaciones entrantes. Cualquier mensaje que diga que hay un problema de seguridad con una cuenta que necesita resolverse urgentemente es una señal de alarma.
Jameson Lopp, desarrollador bitcoiner.
¿Cómo funcionó el ataque de phishing contra Lopp?
Según el desarrollador, el atacante abusó de un formulario legítimo de recuperación de cuenta de Google (un mecanismo que permite enviar mensajes de contacto a otros usuarios de Google) para introducir un mensaje extenso con un enlace malicioso al final.
El truco, según describió el desarrollador, consistió en empujar el enlace varias páginas hacia abajo con espacio en blanco, de modo que la parte visible del mensaje pareciera una comunicación normal.
Una nueva y engañosa técnica de phishing que alguien acaba de intentar conmigo: abusar de un formulario real de contacto de recuperación de cuenta de Google e introducir un mensaje muy largo que contiene un enlace de phishing. El verdadero mensaje está empujado después de varias páginas de espacio en blanco al final.
Jameson Lopp, desarrollador bitcoiner.
Que el formulario pertenezca a Google y que el sitio de destino también esté alojado en servidores de Google significa que los filtros antiphishing que analizan remitentes y dominios no habrían marcado el mensaje como sospechoso, de acuerdo con lo descripto por Lopp.
Antecedentes recientes de phishing
El intento contra Lopp se suma a una serie de esquemas de phishing dirigidos al ecosistema de criptomonedas que CriptoNoticias documentó en los últimos meses.
En abril, Dark Web Informer reportó la venta de un kit diseñado para imitar las interfaces de Ledger (fabricante de hardware wallets) con funciones de registro de teclas y notificaciones en tiempo real vía Telegram. En coincidencia con esa detección, un usuario aseguró en X haber perdido 5,9 BTC tras descargar una aplicación falsa de Ledger desde la App Store de Apple.
En enero, la firma SlowMist advirtió sobre una campaña activa que enviaba correos falsos en nombre de la wallet MetaMask simulando un proceso de verificación de seguridad con autenticación de dos factores, con el objetivo de obtener la frase de recuperación del usuario.
Los tres casos comparten la misma lógica: no explotan vulnerabilidades técnicas en los protocolos o dispositivos, sino que construyen entornos de confianza falsos, o, como en el caso del ataque a Lopp, aprovechan entornos de confianza reales para que la víctima entregue voluntariamente lo que el atacante necesita.
