Con el crecimiento de las criptomonedas, que alcanzó recientemente su máximo histórico de capitalización de mercado, los ladrones informáticos aumentan sus esfuerzos para aprovecharse de los usuarios desprevenidos. Esta semana, un ataque de tipo phishing logró robar más de 15 mil dólares en ETH, antes de ser descubierto por el hacker y pentester Wesley Neelen, que se dedica a probar el nivel de seguridad de los servicios web, a fin de prevenir ataques maliciosos.
El ataque llegó a través de un correo electrónico a través de una dirección que, aparentemente, sólo estaba suscrita a la Kin Foundation, una Oferta Inicial de Moneda (ICO) que se encuentra actualmente en el mercado. En éste, se detallaba que MyEtherWallet (MEW) requería actualizar la información sobre el balance de las carteras con motivo de la próxima bifurcación.
Received a MyEtherWallet phishing e-mail on a e-mail address only submitted to a @kin_foundation mailinglist. Huh? pic.twitter.com/FmuswrZMn2
— Wesley (@wez3forsec) 24 de octubre de 2017
A través de un link contenido en el correo, los usuarios eran dirigidos a un sitio web que copiaba exactamente la interfaz de la página oficial de MEW, la única diferencia era una especie de coma debajo de la t, que corresponde a un carácter en latín que fue introducido a través de un truco de Unicode. La página incluso implementó HTTPS, que mostraba la página como segura, usando un servicio gratis llamado Let’s Encrypt.
Neelen investigó el sitio web y descubrió que la cuenta había sustraído un total de 52.56 ETH, correspondientes a 15 mil dólares para esa fecha. Después, el dinero fue distribuido entre tres direcciones, en transacciones de 16.5 ETH cada una.
Sin embargo, este ataque parece tener más alcance del que pudo encontrar Neelen, pues en el grupo de Slack de LBRY, así como en otros grupos del mismo chat y foros externos, han comenzado a aparecer, desde mediados de octubre, mensajes con la misma información que llevan a otras páginas que imitan la de MyEtherWallet, pero con otras direcciones.
El enlace contenido en estos mensajes dirigía a otras páginas falsas, que poseían igualmente variaciones de la dirección oficial de MEW. Es muy importante, por lo tanto, revisar las direcciones de las páginas que visitamos y recordar no ingresar a este tipo de sitios web a través de links sino escribiendo directamente en la barra de dirección.
Para prevenir este tipo de fraudes, el equipo de MyEtherWallet agregó una advertencia en la parte superior de su página oficial aconsejando instalar EtherAddressLookup, un complemento para el navegador Chrome, o utilizar MetaMask, que aloja tus llaves privadas y bloquea las direcciones usadas para phishing que estén registradas en su lista de sitios fraudulentos.
Al haber más de una dirección utilizando la excusa de la próxima bifurcación de Ethereum (que en realidad ya sucedió) o una supuesta actualización de seguridad en los contratos inteligentes para robar claves privadas, es probable que el monto total sustraído por este equipo de delincuentes sea mucho mayor a los 15 mil dólares que detectó Neelen en su investigación.
Recordemos que los ataques phishing replican las páginas web o boletines de correo electrónico oficiales, generalmente ofreciendo algún premio o instando de alguna forma a los usuarios a compartir sus llaves privadas (algo que las páginas oficiales jamás harían), para así poder efectuar el robo. Hay que evitar ser víctimas de ellos prestando atención al URL de la página web y, cuando se trata de carteras online, introduciendo la dirección directamente en la barra de direcciones en lugar de recurrir a una búsqueda o enlace de correo.
