Cómo explotar este método de phishing único usando la API fullscreen
Muchos sitios web en el área de las criptomonedas, especialmente productos que necesitan que ingreses información secreta te piden que tengas cuidado. Generalmente te piden que revises la barra de URL para el checar si el certificado SSL es correcto (a veces específicamente el certificado EV). También te piden que revises si la URL es correcta.
Muchos de ellos hacen de esta la primera instrucción en su página de inicio de sesión. Resulta que incluso comprobar estos dos elementos puede darte una falsa sensación de seguridad debido a algunos ataques muy inteligentes.
Debo recalcar que esto no es una vulnerabilidad en ninguno de los productos (MyCrypto, Binance, Google Chrome, Firefox o Brave) mostrados en el artículo. En cambio, estás manipulando al usuario haciéndole creer que está en un determinado sitio web cuando no lo está.
Los usuarios finales siempre deben estar muy atentos, especialmente cuando se trata de criptomonedas, y optar por mecanismos de seguridad adicionales. Por ejemplo, deben usar 2FA, ejecución sin conexión, billeteras de hardware, etc. Una vez más, no hay nada que MyCrypto o Binance o cualquier otro sitio web puedan hacer para mitigar esto, desafortunadamente.