Imagínese caer en un ataque de phishing que le hizo perder una parte significativa de sus ahorros de criptomonedas, y luego descubrir que un buen samaritano se los devolvió por la bondad de su corazón.

Puede parecer poco realista, pero esa es la experiencia exacta que tuvo una víctima reciente de estafa de phishing. El usuario de Twitter Harv (@punk_cipher) tuiteó recientemente que los estafadores de phishing habían vaciado su aplicación Trust Wallet.

Más tarde, ese mismo día, el investigador de seguridad Harry Denley les informó que había logrado interceptar a los atacantes y asegurar la mitad de las criptomonedas robadas.

Usuario de Trust Wallet víctima de estafa de phishing por 10,000 dólares

A pesar de que otros pueden haberse sentido demasiado avergonzados para hacerlo público, Harv reveló la estafa a través de Twitter a principios del 28 de junio. Con el beneficio de la retrospectiva, estará contento de haber realizado la denuncia.

Denley, un experto en seguridad antiphishing, reveló que la aplicación Trust Wallet de Harv había sido pirateada y vaciada. Un angustiado Harv explicó que había perdido alrededor de 10,000 dólares en criptomonedas. Agregó con un emoji de cara triste:

“Creo que estoy acabado”.

Sorprendentemente, menos de dos horas después del tweet original, Denley respondió con noticias inesperadas que seguramente encantaron a la víctima. Denley le indicó a Harv que le enviara un mensaje directo, ya que había logrado recuperar alrededor de 4,000 dólares de los fondos robados.

Denley prometió revelar cómo había logrado recuperar los fondos el 28 de junio. Y lo hizo el día lunes a través de una publicación en Medium.

Estafando a un estafador: cómo Denley recuperó 4 mil dólares en Ether

Denley lo llamó un “acontecimiento especial” y reveló que la víctima en este ejemplo había instalado una versión maliciosa de la aplicación Trust Wallet. El experto en criptomonedas señala que este caso de phishing fue un poco diferente a los que han afectado a la industria de las criptomonedas durante años.

La versión falsa del software se incluyó en la tienda oficial de Google Play. Las capturas de pantalla de la tienda de aplicaciones muestran que los usuarios han revisado el Trust Wallet más de 600 veces y lo han calificado como  respetable con una valoración promedio de tres estrellas y media.

El nivel de sofisticación aquí está ausente de la mayoría de las estafas de phishing. Los APK maliciosos como estos generalmente se alojan en sitios web de terceros. Denley ejecutó la aplicación en un entorno de sandbox y la descompiló. Luego descubrió que la aplicación maliciosa cargó un WebView, lo que llevó a los usuarios a ingresar su clave mnemotécnica para restaurar una wallet.

Calificado como una aplicación oficial y descargable desde una fuente legítima, es fácil ver por qué la víctima cayó en la estafa.

Rastro de pistas

Por supuesto, ingresar la clave mnemotécnica en la ventana emergente de WebView no restauró la wallet. De hecho, provocó un mensaje de error al enviar simultáneamente la entrada del usuario a un script del lado del servidor.

El “código de pacotilla”, como lo describe Denley, significaba que una configuración deficiente con el dominio del atacante dejaba su registro de errores expuesto a través de Telegram. Denley pudo forzar un error en la aplicación a través de mensajes spam. Después de descifrar las claves API del robot de Telegram, inundó la interfaz del programa de aplicación (API) de Telegram.

Esto hizo que el programa enviara todos los mensajes de chat privados de los estafadores directamente a Denley a través del registro de errores. Luego instaló una barredora personalizada para vaciar el contenido de las wallets que habían sido robadas usando la frase mnemotécnica capturada. Lo hizo en intervalos de 180 segundos.

Con algunos ajustes más, Denley pudo manipular el bot de los propios atacantes para informar las conversaciones privadas de los miembros del canal Telegram. Descubrió la identificación de Telegram del atacante, un usuario que se conoce con el sobrenombre de “George”. Todos los estafadores hablaban turco.

Barriendo los contenidos de la wallet

El contraataque de Denley pasó desapercibido durante unas 15 horas entre el 28 y el 29 de junio. Finalmente, los estafadores notaron la avalancha de mensajes que enviaban spam a sus chats.

Publicidad
Continúe leyendo a continuación

Según los informes, modificaron el registro de errores y eliminaron el bot de Telegram. Denley cree que los estafadores tendrán otros bots, pero mientras tanto se compromete a enviar claves privadas falsas a los registros del pirata informático. Esto debería comprar algo de tiempo para que las víctimas aseguren sus activos de cifrado.

Rastreando a las víctimas

Con la información completa de la transacción, Denley continuó interceptando varios otros intentos de vaciar wallets. Se las arregló para encontrar las direcciones de los monederos afectados y luego se dispuso a reunir a los usuarios con sus fondos.

Inicialmente, buscó en Twitter la dirección de la víctima más grande, lo que finalmente lo llevó a Harv. Después de iniciar una conversación, Denley solicitó que firmen un mensaje específico con sus llaves. Esto permitió al experto devolver los fondos, con confianza, al propietario confirmado.

El día lunes Harv respondió con deleite ante el resultado:

Mantenerse a salvo de ataques cada vez más sofisticados

Los ataques de phishing suelen tener grandes señales de alerta que impiden que todos los usuarios, excepto los más vulnerables, sean víctimas. Por ejemplo, BeInCrypto informó en enero sobre los estafadores que se hacen pasar por Ledger, la wallet de hardware. Los falsos canales de YouTube con los nombres de “Ledger” y “Ledger Nano” promovieron un monedero web comprometido que ofrecía fondos gratuitos.

La primera bandera roja, en este caso, es la improbabilidad de que Ledger promocione un nuevo producto exclusivamente a través de YouTube. Las empresas suelen lanzar comunicados de prensa que detallan sus lanzamientos. No es difícil consultar el archivo de publicación de Ledger para obtener información relacionada con esto.

La segunda alerta es el número de Bitcoin que estos estafadores ofrecen a los “afortunados” ganadores. Ledger reportó videos en Twitter que muestran hasta 2,000 BTC en bonos. ¿Por qué diablos Ledger regalaría más de 18 millones de dólares solo para lanzar un monedero web?

La estafa de phishing de Trust Wallet, por otro lado, es mucho más sutil. La aplicación maliciosa proviene de la tienda oficial de Google Play. Tiene críticas, una calificación positiva y tiene la misma marca que el lanzamiento oficial.

Haz tu propia investigación

Como se hizo pasar por una wallet oficial, la solicitud de ingresar la frase mnemotécnica no representaría una señal de alarma. La mayoría de las aplicaciones de monederos cuentan con opciones para cargar una wallet existente desde una clave privada o frase semilla. O para crear uno nuevo en el lanzamiento.

Si bien Trust Wallet realizó un excelente trabajo de suplantación de identidad, todavía es posible protegerse de tales estafas. La mejor manera de hacerlo es dirigirse siempre a la fuente para cualquier descarga: el sitio web oficial o GitHub del proyecto.

El sitio web oficial de Trust Wallet dirige a los usuarios a descargar directamente desde las tiendas Google Play o Apple. Sin embargo, también se vincula al producto oficial, que tiene muchas más reseñas, descargas y una calificación más alta.

Algunas de las víctimas anteriores pueden haber sabido que Trust Wallet es compatible con Google Play y pensaron que ahorrarían un poco de tiempo yendo directamente allí. Desafortunadamente, un poco de conveniencia casi siempre resulta en una caída de la seguridad.

Cuando se trata de grandes cantidades de efectivo, como en el caso de Harv, la seguridad siempre debe tener prioridad sobre la conveniencia.