El phishing de MetaMask roba carteras de criptomonedas a través de Google Ads

Durante la semana pasada, los usuarios de la billetera de criptomonedas MetaMask perdieron fondos debido a una estafa de phishing que atrajo a posibles víctimas a través de los anuncios de búsqueda de Google.

MetaMask tiene una comunidad de más de un millón de usuarios. El sitio ofrece una billetera de criptomonedas Ethereum en el navegador a través de una extensión de navegador que permite que las aplicaciones distribuidas lean desde la cadena de bloques.

Al instalar la extensión legítima, puede importar una billetera existente o crear una nueva junto con la frase semilla secreta que permite el acceso a la billetera.

Los usuarios de MetaMask encuentran billeteras vacías

Si bien no está claro cuántos usuarios de MetaMask cayeron en la estafa, algunos dicen que terminaron con billeteras vacías después de hacer clic en un anuncio de búsqueda fraudulento promocionado como un sitio de MetaMask.

La estafa de phishing / publicidad todavía está activa, con un nuevo dominio que se promociona constantemente a través de los anuncios de búsqueda de Google.

El miércoles, MetaMask advirtió a su comunidad sobre la estafa y recomendó usar enlaces directos a la URL legítima de metamask.io y mantenerse alejado de los anuncios patrocinados.

Advertencia de estafa de MetaMask

Sin embargo, la advertencia llegó demasiado tarde para algunos usuarios, ya que algunos usuarios informaron pérdidas de decenas de miles de dólares estadounidenses.

Las quejas comenzaron a llegar esta semana, todas las historias describían el mismo escenario: el dinero se fue después de intentar instalar la extensión del navegador MetaMask.

Se determinó que los usuarios iban a una página falsa de phishing MetaMask a través de anuncios de Google. Una vez en la página, se les pedirá que instalen la extensión, lo que les dará la opción de importar una billetera existente o crear una nueva.

Página de phishing de MetaMask falsa
Página de phishing de MetaMask falsa

Si hacen clic en el botón "Crear cartera", se les lleva a la MetaMask.io sitio ya que no hay criptomonedas para robar. Sin embargo, si hacen clic en la opción "Importar una billetera", se les pedirá que ingresen su frase de contraseña de billetera existente, que luego se envía al atacante.

Forma de phishing de MetaMask que roba la frase de la billetera
Forma de phishing de MetaMask que roba la frase de la billetera

Tan pronto como el estafador recibió la sentencia inicial, procedió a vaciar las billeteras de las víctimas. En respuesta a la advertencia de MetaMask en Twitter, un usuario afirmó que le robaron casi $ 30,000.

Usuarios de MetaMask robados

Varios dominios colocados en los anuncios de búsqueda de Google

Los estafadores compraron Google Ads para dirigir a los usuarios a buscar MetaMask en el motor de búsqueda de Google. Estos anuncios llevaron a un dominio fraudulento que se hizo pasar por el servicio de criptomonedas.

Han registrado varios dominios para la estafa, que actualmente está en curso, como se ve en la captura de pantalla a continuación tomada de BleepingComputer:

Anuncio de MetaMask fraudulento en la búsqueda de Google
Anuncio de MetaMask fraudulento en la búsqueda de Google

El dominio maskmefa[.]io se promociona actualmente en anuncios de búsqueda cuando se busca MetaMask en Google. La ortografía del servicio en el anuncio de título debe ser una señal de alerta, pero es probable que la mayoría de los usuarios no lo noten (observe la "к" rusa y el espacio antes del dominio de nivel superior). UNA búsqueda de whois en Domaintools muestra que se registró ayer.

La firma forense de blockchain CipherTrace en una publicación de esta semana menciona otros tres dominios utilizados para la estafa:

  • mascara[.]yo
  • installmetamask[.]con
  • meramaks[.]yo

Los dos primeros tienen diez y nueve días respectivamente, mientras que el tercero se registró ayer. Todos se registraron a través del mismo registrador, NameCheap.

Los usuarios que accedan a los sitios fraudulentos tendrían dificultades para detectar el fraude porque se ve casi idéntico a la página legítima de MetaMask. Incluso si verifican el dominio en la barra de direcciones, existe una alta probabilidad de caer en el truco.

Sitio falso de MetaMask
Sitio falso de MetaMask
Sitio legítimo de MetaMask
Sitio legítimo de MetaMask

La única diferencia entre el sitio original de MetaMask y el falso es imperceptible para la mayoría de los usuarios (la escritura en el botón para obtener la extensión).

Las estafas y los ataques de malware aumentan en frecuencia durante la temporada navideña, cuando los consumidores gastan más atraídos por descuentos u ofertas especiales y se distraen más fácilmente.

Prestar especial atención a las fuentes de descarga reduce la posibilidad de convertirse en una víctima. El consejo de MetaMask para acceder a recursos desde enlaces oficiales directos (por ejemplo, cuentas corporativas en LinkedIn, Twitter, Facebook) y evitar redireccionamientos de terceros (por ejemplo, URL en mensajes) es una buena manera de evitar caer en una estafa.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir Change privacy settings