Con el crecimiento de las criptomonedas, que alcanzรณ recientemente su mรกximo histรณrico de capitalizaciรณn de mercado, los ladrones informรกticos aumentan sus esfuerzos para aprovecharse de los usuarios desprevenidos. Esta semana, un ataque de tipo phishing logrรณ robar mรกs de 15 mil dรณlares en ETH, antes de ser descubierto por el hacker y pentester Wesley Neelen, que se dedica a probar el nivel de seguridad de los servicios web, a fin de prevenir ataques maliciosos.
El ataque llegรณ a travรฉs de un correo electrรณnico a travรฉs de una direcciรณn que, aparentemente, sรณlo estaba suscrita a la Kin Foundation, una Oferta Inicial de Moneda (ICO) que se encuentra actualmente en el mercado. En รฉste, se detallaba que MyEtherWallet (MEW) requerรญa actualizar la informaciรณn sobre el balance de las carteras con motivo de la prรณxima bifurcaciรณn.
Received a MyEtherWallet phishing e-mail on a e-mail address only submitted to a @kin_foundation mailinglist. Huh? pic.twitter.com/FmuswrZMn2
โ Wesley (@wez3forsec) 24 de octubre de 2017
A travรฉs de un link contenido en el correo, los usuarios eran dirigidos a un sitio web que copiaba exactamente la interfaz de la pรกgina oficial de MEW, la รบnica diferencia era una especie de coma debajo de la t, que corresponde a un carรกcter en latรญn que fue introducido a travรฉs de un truco de Unicode. La pรกgina incluso implementรณ HTTPS, que mostraba la pรกgina como segura, usando un servicio gratis llamado Letโs Encrypt.
Neelen investigรณ el sitio web y descubriรณ que la cuenta habรญa sustraรญdo un total de 52.56 ETH, correspondientes a 15 mil dรณlares para esa fecha. Despuรฉs, el dinero fue distribuido entre tres direcciones, en transacciones de 16.5 ETH cada una.
Sin embargo, este ataque parece tener mรกs alcance del que pudo encontrar Neelen, pues en el grupo de Slack de LBRY, asรญ como en otros grupos del mismo chat y foros externos, han comenzado a aparecer, desde mediados de octubre, mensajes con la misma informaciรณn que llevan a otras pรกginas que imitan la de MyEtherWallet, pero con otras direcciones.
El enlace contenido en estos mensajes dirigรญa a otras pรกginas falsas, que poseรญan igualmente variaciones de la direcciรณn oficial de MEW. Es muy importante, por lo tanto, revisar lasย direcciones de las pรกginas que visitamos y recordar no ingresar a este tipo de sitios web a travรฉs de links sino escribiendo directamente en la barra de direcciรณn.
Para prevenir este tipo de fraudes, el equipo de MyEtherWallet agregรณ una advertencia en la parte superior de su pรกgina oficial aconsejando instalar EtherAddressLookup, un complemento para el navegador Chrome, o utilizar MetaMask, que aloja tus llaves privadas y bloquea las direcciones usadas para phishing que estรฉn registradas en su lista de sitios fraudulentos.
Al haber mรกs de una direcciรณn utilizando la excusa de la prรณxima bifurcaciรณn de Ethereumย (que en realidad ya sucediรณ) o una supuesta actualizaciรณn de seguridad en los contratos inteligentes para robar claves privadas, es probable que el monto total sustraรญdo por este equipo de delincuentes sea mucho mayor a los 15 mil dรณlares que detectรณ Neelen en su investigaciรณn.
Recordemos que los ataques phishing replican las pรกginas web o boletines de correo electrรณnico oficiales, generalmente ofreciendo algรบn premio o instando de alguna forma a los usuarios a compartir sus llaves privadas (algo que las pรกginas oficiales jamรกs harรญan), para asรญ poder efectuar el robo. Hay que evitar ser vรญctimas de ellos prestando atenciรณn al URL de la pรกgina web y, cuando se trata de carteras online, introduciendo la direcciรณn directamente en la barra de direcciones en lugar de recurrir a una bรบsqueda o enlace de correo.