Canal de Telegram

2 nov 2023

Segu-Info » , » Phishing para robar criptos en billeteras frías y calientes

Phishing para robar criptos en billeteras frías y calientes

2 nov 2023, 8:55:00 a.m.   Comenta primero!
  ,  

Cuanto más populares se hacen las criptomonedas en el mundo y más formas aparecen de almacenarlas, más diverso se vuelve el arsenal de los ciberdelincuentes que andan a la caza del dinero digital. Dependiendo de lo bien protegido que esté la billetera y de cuánto dinero puedan robar, los estafadores lanzarán sus ataques utilizando tecnologías más o menos sofisticadas y esforzándose para camuflarse como recursos legítimos.

En este artículo, cubriremos dos enfoques opuestos para lanzar ataques por correo electrónico a dos de los formatos más populares de almacenar criptoactivos: las billeteras calientes y las frías.

Criptomonederos calientes y los intentos de acceder a ellos

Una billetera caliente (hot wallet) es aquella que tiene acceso constante a Internet. En esencia, se trata de cualquier servicio en línea que proporcione servicios de almacenamiento de criptomonedas, desde bolsas de cambio, hasta aplicaciones especializadas.

Las billetera calientes son una forma muy común de almacenar criptomonedas. Su popularidad se debe a que, en primer lugar, son fáciles de crear: basta con registrar una cuenta en uno de los servicios y, en segundo lugar, es fácil retirar dinero de ellos y convertirlo a otras divisas. Debido a que son muy populares y simples, las billeteras calientes son un objetivo primordial para los atacantes.

Pero hay un pequeño detalle: por la misma razón, y por el hecho de que siempre están conectados a Internet, las billeteras calientes rara vez guardan grandes sumas. En consecuencia, los ataques por correo electrónico a este tipo de billeteras no se caracterizan por usar técnicas originales o métodos sofisticados. Por el contrario, tienen un aspecto bastante primitivo y están pensados sobre todo para el usuario poco preparado.

Un típico ataque de phishing a usuarios de billeteras de este tipo se realiza así: los atacantes envían correos electrónicos en nombre de una empresa o exchange conocido, pidiéndoles que confirmen transacciones o que vuelvan a verificar su billetera.

Tras hacer clic en el enlace, el usuario llega a una página en la que se le pide que introduzca una "frase semilla". Una frase semilla (seed phrase / recovery phrase) es una secuencia de 12, 18 o 24 palabras, y es necesaria para recuperar el acceso a una billetera. De hecho, es la contraseña principal de la misma.

La frase semilla puede utilizarse para obtener o recuperar el acceso a la cuenta del usuario y realizar cualquier transacción. Si la pierde, el usuario corre el riesgo de quedarse sin acceso a su billetera para siempre, y si se la da a un estafador, su cuenta estaría comprometida de forma irreversible.

Si el usuario introduce una frase semilla en la página falsa, los atacantes obtienen acceso irrestricto a su billetera y pueden vaciarla enviando todos los fondos a sus propias direcciones.

Estas estratagemas suelen estar pensadas para el usuario común y corriente. Son bastante sencillas, sin técnicas complicadas ni trucos psicológicos. El formulario de entrada de frases semilla suele ser minimalista: la página no contiene ningún elemento adicional aparte del campo de entrada y el logotipo de la bolsa de cambio.

Phishing dirigido a billeteras fríos

Una billetera fría (cold wallet o cold storage) no tiene conexión permanente a Internet. Puede ser un dispositivo aparte o incluso una clave privada escrita en un papel. El tipo más popular de billeteras frías son los monederos de hardware.

Dado que estos dispositivos están desconectados la mayor parte del tiempo y no se puede acceder a ellos de forma remota, los usuarios almacenan mucho más dinero en ellos que en los billeteras calientes. Dicho esto, sería un error suponer que es imposible hackear una billetera de este tipo de forma remota, y que solo es posible robarla u obtener acceso físico a la misma.

Al igual que con las billeteras calientes, los atacantes utilizan la ingeniería social para acceder a los activos del usuario. Por ejemplo, no hace mucho vimos una lista de correo que apuntaba a los propietarios de billeteras frías de hardware.

El ataque comienza con un mensaje similar a los correos masivos sobre criptodivisas: el usuario recibe un correo electrónico enviado en nombre de la bolsa de criptodivisas Ripple en el que se le invita a participar en un sorteo de tokens XRP, la criptodivisa interna del sitio.

Ya en esta fase vemos una diferencia con respecto a los ataques masivos a billeteras calientes: en lugar de enviar un enlace a la página de phishing, los atacantes utilizaron un complejo esquema de sitios y blogs simulados.

También copiaron con esmero el diseño del sitio web de Ripple y registraron un dominio casi idéntico al dominio oficial de la bolsa. El método utilizado para falsificar el nombre de dominio se denomina ataque punycode: a primera vista, el dominio de segundo nivel es exactamente igual que el dominio original, pero si lo examinamos con más atención, vemos que la letra "r" se ha sustituido por un carácter Unicode que utiliza el carácter cedilla.

Fuente: SecureList

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!