Kaspersky ha descubierto una campaña de phishing dirigida a usuarios de criptomonedas de todo el mundo. Las monedas virtuales son uno de los activos más deseados por los ciberatacantes y, solo durante la primavera de 2023, Kaspersky detectó 85.000 correos electrónicos fraudulentos, dirigidos tanto a billeteras calientes (conectadas a Internet) como frías (mantienen las contraseñas fuera de la red). Sus expertos explican las particularidades de ambos sistemas.
En el mundo hay más de 400 millones de propietarios de wallets de criptomonedas, de acuerdo con Crypto.com. Muchos de ellos almacenan sus claves en billeteras calientes, conectadas a Internet. Los ataques de phishing contra usuarios de este tipo de wallets suelen ser simples, y se centran principalmente en personas con pocos conocimientos técnicos. Los ciberatacantes se hacen pasar por plataformas de intercambio de monedas virtuales a través de falsos correos electrónicos en los que se le pide al usuario validar transacciones o reconfirmar la seguridad de sus billeteras.
Quienes pican y hacen clic en los enlaces incluidos en estos correos son redirigidos a páginas falsas en las que se le solicita la frase semilla, que es clave para recuperar la billetera. Al tener acceso a la misma, los estafadores se hacen con el control del wallet y pueden enviar los fondos de la víctima a sus cuentas.
Ejemplo de correo electrónico de phishing dirigido a usuarios de Coinbase
Por su parte, las billeteras frías son aquellas que no están conectadas a Internet. Están alojadas en una memoria USB. Gozan de mucha popularidad entre quienes tienen grandes cantidades de criptomonedas porque son más seguras que las billeteras calientes, pero no lo son al 100%. Los expertos de Kaspersky han descubierto una campaña de phishing específica para este tipo de dispositivos. Se inicia con un correo electrónico supuestamente enviado por un importante exchange de criptomonedas, Ripple. En el mail se pone como cebo la participación en un sorteo de tokens XRP.
Ejemplo de un blog fake de Ripple
En lugar de dirigir a las víctimas a una página de phishing, como sucede habitualmente, los ciberdelincuentes emplean ahora una técnica más sofisticada a través de un blog falso con el diseño de la web de Ripple.
En este sitio se ofrece a los usuarios la posibilidad de entrar en el sorteo de tokens XRP, la criptomoneda creada por Ripple. Para ello, hay que hacer clic en un enlace que a su vez lleva a otro sitio falso que imita la apariencia del original y que tiene un dominio muy parecido al oficial. Allí se solicita a las víctimas que conecten sus billeteras en frío -normalmente, como decimos, se trata de una memoria USB, tipo Tezor o Ledge-. Esta acción permite a los ciberatacantes acceder a las cuentas de las víctimas y transferir las criptomonedas.
Trezor Connect: confirmación de la conexión al sitio de la estafa
“Hemos visto un aumento constante de la popularidad de las criptomonedas. Sus usuarios deben estar alerta e implementar fuertes medidas de seguridad para proteger estos activos digitales. Es crucial verificar la autenticidad del remitente de los correos electrónicos y tener cuidado antes de hacer clic en cualquier enlace o facilitar a terceros información confidencial”, declara Roman Dedenok, experto en seguridad de Kaspersky.
Más información
- DoubleFinger, el malware multifase que roba criptomonedas
- Satacom: la nueva amenaza para navegadores que roba criptomonedas
- El phishing sobre criptomonedas se dispara un 40%
