Atacantes se hacen pasar por un sitio seguro para robar bitcoins
Lo que vamos a describir a continuación es un caso de ciberocupación (Cybersquatting) y phishing. Los actores de amenazas han creado un sitio que imita el servicio legítimo de intercambio seguro de notas privnote.com para robar bitcoins.
Los creadores de privnote.com, un sitio legítimo que ofrece un servicio de notas autodestructivas, están preocupados. Esto porque alguien hubiera creado una versión falsa de su sitio web para engañar a los usuarios para que lo usen.
“Al principio de año, KrebsOnSecurity escuchó a los propietarios de Privnote.com, quienes se quejaron de que alguien había creado un clon falso de su sitio. Este estaba engañando a bastantes usuarios habituales del servicio”, informó el periodista de investigación Brian Krebs.
El sitio legítimo de Privnote.com ofrece la capacidad de enviar notas cifradas y autodestructivas que pueden compartirse con otros usuarios.
Como se puede ver a continuación, se creó un sitio llamado Privnote s .com que se hace pasar por el sitio auténtico privnote.com.
Los atacantes no se conformaron con los nombres y la apariencia extremadamente similares de los dos sitios web. El clon de Privnotes agregó anuncios en la Búsqueda de Google para que su resultado superara los resultados “orgánicos”.
Eso significa que cada vez que un usuario busque “privnote (s)” Google mostrará primero el anuncio (falso) de Privnotes.com, como se muestra a continuación.
El servicio legítimo de Privnote.com cifra todas las notas autodestructivas para que esos mensajes se vuelvan inalterables y legibles incluso para el propio sitio web.
Sin embargo, los desarrolladores de Privnote.com descubrieron que su impostor no solo ignora la implementación del cifrado, sino que también hace algo siniestro.
Roba bitcoins alterando las direcciones de las notas
Con la ayuda de la experta en seguridad Allison Nixon, Krebs descubrió que Privnotes.com estaba configurado para robar solicitudes de pago de criptomonedas. Solicitudes enviadas a través de su plataforma.
Cuando el contenido de una nota incluye una dirección de BitCoin, altera la dirección de BitCoin a una bajo el control del actor de amenaza. Esto en un intento de robar la criptomoneda.
Además, para evitar ser atrapado, los primeros cuatro caracteres de la dirección BitCoin alterada son los mismos que la dirección originalmente guardada en la nota.
Para hacer que este comportamiento sea difícil de detectar, para el usuario final, usan un truco. El sitio web solo altera la dirección de BitCoin si se accede a la nota desde una dirección IP diferente a la del creador.
Sin embargo, cuando se probó utilizando VPN y sesiones de incógnito individuales (para evitar el seguimiento a través de cookies), parecía que el sitio web había retirado el comportamiento malicioso por el momento. Las direcciones de BitCoin permanecieron iguales en nuestras pruebas.
Por ejemplo, como puedes ver, enviamos un mensaje que contiene la dirección de bitcoin ‘3J98t1WpEZ73CNmQviecrnyiWrnqRhWNLy’.
En una computadora diferente, el destinatario recibió esta misma dirección de bitcoin en una dirección IP diferente.
Si bien ambos sitios web ofrecen una “conexión segura” utilizando SSL/TLS, como se desprende del icono del candado, notamos las diferencias aparentes entre sus certificados:
Sin embargo, el impostor de Privnotes.com está utilizando un certificado gratuito de Let’s Encrypt.
El uso de un certificado Let’s Encrypt no es una indicación automática de que un sitio web es malicioso.
Su naturaleza gratuita como almuerzo gratis y gran posibilidad de reconocimiento por parte de los navegadores web modernos hacen que Let’s Encrypt sea muy usado. Esta es una opción atractiva para los estafadores que crean sitios de phishing.
Estafa sofisticada
Esta estafa sofisticada es un recordatorio tanto para los usuarios finales como para los creadores de sitios web cuando comparten información confidencial por medios electrónicos. En este caso, es posible que los usuarios ni siquiera hayan notado que el sitio de Privenotes en el que se encontraban era falso. Este no ofrecía ningún “cifrado”, simplemente asumieron que lo ofrecía
Al mismo tiempo, como destacó un comentarista del informe de Kreb, el incidente también es un recordatorio a los propietarios de sitios web. Estos tienen una misión crítica para “ocupar” nombres de dominio similares y sus variantes, antes de que alguien más lo haga.
Si bien se puede abusar de la ocupación de dominios, la misma práctica puede ayudar a disuadir significativamente los ataques de phishing. Esto cuando los propietarios del dominio original los usan. Los grandes bancos y servicios financieros ya ocupan nombres de dominio de aspecto similar en un esfuerzo por proteger a sus usuarios.