Cómo funcionan los ataques de pishing en el sector de las criptomonedas
Son cada vez más habituales este tipo de ataques. Los métodos más usados por los ciberdelincuentes.
El pishing es la forma que usan los ciberdelincuentes para obtener información confidencial de los usuarios de forma fraudulenta y así apropiarse de la identidad de esas personas y usarlas para realizar diversos tipos de estafa.
La traducción de pishing es suplantación de identidad. La forma más burda de su uso es cuando, por ejemplo, alguien recibe una llamada telefónica de una persona que dice ser un pariente y que necesita dinero porque tuvo un accidente o fue secuestrado.
Ese tipo de estafas se realizan muchas veces desde las cárceles y las víctimas suelen ser personas mayores de edad. También puede ocurrir a través de un mensaje de un télefono celular, cuando su dueño lo perdió o le robaron su cuenta.
Otra de las formas más habituales del pishing es través de los correos electrónicos, cuando se pide ingresar datos personales para llenar un formulario. También puede ocurrir que llegue algo similar mediante cadenas de WhatsApp.
Pero este tipo de ataque son cada vez más sofisticados y se ha detecado un aumento de los ataques de phishing en el área de las criptomonedas, que están atacando diversas plataformas como Ethereum, Binance Smart Chain, Polygon o Avalanche.
La firma Check Point Research un proveedor especializado en ciberseguridad dijo en un informe que entre los grupos de ciberdelincuentes que realizan este tipo de ataques, Angel Drainer está entre los más destacados y sigue prosperando pese a que muchos otros grupos han sido desmantelados.
“Una de las últimas tácticas que han desarrollado es el robo a través de campañas falsas de airdrop: bonificaciones gratuitas que ofrecen algunos proyectos de criptomonedas a modo de muestra o a cambio de la realización de una serie de tareas para su beneficio”, advierte la firma.
Las formas más habituales del engaño son las siguientes:
- Campañas engañosas: el proceso comienza con la creación de campañas falsas de airdrop (regalo de criptomonedas). Se suelen promocionar por redes sociales o por correo electrónico y ofrecen tokens gratuitos u otros incentivos para atraer a los usuarios. Estas campañas, a priori, parecen legítimas y son muy convincentes.
- Imitación de sitios web legítimos: los usuarios que responden a estas campañas son dirigidos a sitios web fraudulentos. Estos sitios web se elaboran de tal manera que parecen webs legítimas, por lo que se hace muy difícil distinguirlos de los reales.
- Solicitud de conexión de billeteras: los usuarios tienen que conectar entonces sus wallets para continuar con el proceso. Este paso parece inofensivo pues, a menudo, solo requiere de la verificación de la identidad del usuario para obtener los tokens ofrecidos.
- Interacción con contratos inteligentes maliciosos: a continuación, el proceso continúa cuando el usuario tiene que aceptar un contrato inteligente para conseguir los beneficios anunciados en el airdrop. Este contrato contiene funciones ocultas que alteran las configuraciones de seguridad del monedero digital o incluso pueden comenzar transacciones no autorizadas de manera automática.
- Función ‘Permit’ en Token ERC-20: los atacantes también emplean de manera indebida la función ‘Permit’ en los Tokens ERC-20. A través de esta fórmula, consiguen que los usuarios firmen un permiso que les da la posibilidad de manejar sus tokens. Este método es muy peligroso ya que no requiere de una transacción en cadena para cada aprobación, por lo que la actividad se vuelve más difícil de detectar.
- Transferencia sigilosa de archivos: una vez han conseguido el acceso, comienzan a transferir activos fuera del wallet del usuario. Para ello, inician múltiples transferencias y de este modo se dificulta el rastreo de los activos robados. En muchos casos, sobre todo cuando emplean la función ‘Permit’, no dejan un rastro directo en la blockchain, ya que la aprobación y la transacción se realizan fuera de la misma. Detectar este tipo de actividades fraudulentas se convierte en una tarea muy compleja.
“Los usuarios deben conocer estás tácticas y ser conscientes de lo importante que es verificar bien los detalles de los contratos inteligentes y ser escépticos ante este tipo de ofertas”, alerta Eusebio Nieva, director técnico de Check Point Software para España y Portugal.