Phishing de MetaMask roba billeteras de criptomonedas a través de anuncios de Google

Durante la semana pasada, los usuarios de las billeteras de criptomonedas MetaMask han estado perdiendo fondos debido a una estafa de phishing.  La estafa atrajo a posibles víctimas a través de los anuncios de búsqueda de Google.

MetaMask tiene una comunidad de más de un millón de usuarios. El sitio ofrece una billetera de criptomonedas Ethereum en el navegador a través de una extensión del navegador. La extensión permite que las aplicaciones descentralizadas lean desde la cadena de bloques (blockchain).

Al instalar la extensión legítima, puedes importar una billetera existente o crear una nueva junto con la frase semilla (seed phrase) secreta. La frase semilla permite el acceso a la billetera.

Los usuarios de MetaMask encuentran billeteras vacías

Aunque no está claro cuántos usuarios de MetaMask cayeron en la estafa, algunos dicen que terminaron con las billeteras vacías. El incidente les ocurrió después de hacer clic en un anuncio de búsqueda fraudulento que se promocionaba como el sitio MetaMask.

La estafa de phishing/publicidad todavía estaba activa hace un par de días. La estafa tiene un nuevo dominio que se promociona constantemente a través de los anuncios de búsqueda de Google.

El miércoles, MetaMask alertó a su comunidad sobre la estafa y recomendó el uso de enlaces directos a la URL legítima de metamask.io. Además, recomendó mantenerse alejado de los anuncios patrocinados.

Sin embargo, la advertencia llegó demasiado tarde para algunos usuarios, ya que algunos usuarios informaron pérdidas de decenas de miles de dólares estadounidenses.

Las quejas comenzaron a llegar esta semana, todas las historias describían el mismo escenario. El dinero desapareció después de intentar instalar la extensión para el navegador MetaMask.

Se determinó que los usuarios iban a una página falsa de phishing MetaMask a través de anuncios de Google. Una vez en la página, se les pedirá que instalen la extensión. La extensión les dará la opción de importar una billetera existente o crear una nueva.

Si hacen clic en el botón ‘Crear billetera’, se les lleva al sitio real MetaMask.io ya que no hay criptomonedas para robar. Sin embargo, si hacen clic en la opción ‘Importar una billetera’, se les pedirá que ingresen la frase clave de su billetera existente. Luego la frase se envía al atacante.

Tan pronto como el estafador obtuvo la frase inicial, procedieron a vaciar las billeteras de las víctimas. En respuesta a la advertencia de MetaMask en Twitter, un usuario dijo que le robaron casi $30,000.

Varios dominios insertados en los anuncios de búsqueda de Google

Los estafadores compraron anuncios de Google para orientar a los usuarios que buscaban MetaMask en el motor de búsqueda de Google. Estos anuncios llevaron a un dominio fraudulento que se hacía pasar por el servicio de criptomonedas.

Registraron varios dominios para la estafa, que actualmente está en curso, como se ve en la captura de pantalla a continuación tomada hace 2 días.

El dominio maskmefa[.]Io se promociona actualmente en los anuncios de búsqueda cuando se busca MetaMask en Google. La ortografía del servicio en el anuncio de título debe ser una señal de alerta, pero es probable que la mayoría de los usuarios se pierdan esto. Ten en cuenta la “к” rusa y el espacio antes del dominio de nivel superior). Una búsqueda de whois en Domaintools muestra que se registró hace unos días.

La empresa de análisis forense de blockchain CipherTrace en una publicación de esta semana menciona otros tres dominios utilizados para la estafa:

• maskmeha[.]io
• installmetamask[.]com
• meramaks[.]io

Los dos primeros tienen doce y once días, respectivamente, mientras que el tercero se registró hace cuatro días. Todos se registraron a través del mismo registrador, NameCheap.

Los usuarios que accedan a los sitios fraudulentos tendrían dificultades para detectar el fraude porque se ve casi idéntico a la página legítima de MetaMask. Incluso si verifican el dominio en la barra de direcciones, existe una alta probabilidad de caer en la trampa.

La única diferencia entre el sitio original de MetaMask y el falso es imperceptible para la mayoría de los usuarios. Es decir, la escritura en el botón para obtener la extensión).

Aumento de estafas debido a la época

Las estafas y los ataques de malware aumentan en frecuencia durante la temporada navideña. Esto cuando los consumidores gastan más atraídos por descuentos u ofertas especiales y se distraen más fácilmente.

Prestar especial atención a las fuentes de descarga reduce la posibilidad de convertirse en una víctima. El consejo de MetaMask es acceder a recursos desde enlaces oficiales directos. Por ejemplo, cuentas de empresa en LinkedIn, Twitter, Facebook. Evitar redireccionamientos de terceros (por ejemplo, URL´s en mensajes) es una buena manera de no caer en una estafa.