Dada la enorme popularidad que tienen las monedas digitales y los tokens no fungibles, mejor conocidos como NFTs, son el nuevo foco de atención para que ciberdelincuentes busquen hacerse de estos activos, a través de las transacciones que ocurren a diario en redes sociales como Twitter.
Una investigación de la empresa de seguridad cibernética Tenable, reveló que estafadores están secuestrando cuentas verificadas y no verificadas en Twitter para hacerse pasar por proyectos populares de NFT, como Bored Ape Yacht Club (BAYC), Azukis, MoonBirds y OkayBears, a fin de robar los activos digitales de los usuarios a través de sitios de phishing.
El éxito de algunos de estos proyectos de NFT de primera línea ha facilitado el camino para una adopción más amplia al promover las próximas integraciones con sus propios metaversos, lo que da a los estafadores una amplia oportunidad de sacar provecho de los anuncios nuevos o rumoreados en relación con estos proyectos.
Los sitios de phishing de BAYC Otherside tuvieron tanto éxito que se pudieron localizar tres direcciones de criptomonedas que habían robado varios NFT de MAYC, BAYC, Azuki y otros por un valor de 6.2 millones de dólares.
En tanto, la firma especializada en criptomonedas Chainalysis, descubrió que México está entre los cuatro países latinoamericanos con mayor uso de criptomonedas.
Este reporte identificó que el valor de flujos ilícitos con criptomoneda en el país alcanzó la cantidad de 96 millones de dólares, incluyendo la recepción y envío a billeteras de otros países.
Este tipo de estafas son tan exitosas debido a que se realizan a través de diferentes niveles de promoción y validación, volviéndose complejo de descubrir para usuarios distraídos.
Formas de estafa
Los estafadores de criptomonedas están etiquetando a los usuarios en las respuestas de cientos de tuits en un intento de llevarlos a sitios web de phishing. Estos sitios de phishing son indistinguibles de los sitios legítimos del proyecto NFT, lo que hace difícil que el aficionado medio a las criptodivisas los distinga.
En lugar de utilizar los nombres de usuario y las contraseñas tradicionales, se convence a los usuarios para que conecten sus billeteras de criptomonedas. Al hacerlo, los estafadores son capaces de transferir las monedas digitales como Ethereum ($ETH) o Solana ($SOL), así como cualquier NFT que se mantenga en estas carteras.
El airdrop es una actividad promocional realizada para ayudar a impulsar un proyecto de moneda digital. El Bored Ape Yacht Club (BAYC), anunció a principios de este año un Airdrop de ApeCoin a los titulares de sus diversos proyectos NFT como BAYC, Mutant Ape Yacht Club y Bored Ape Kennel Club.
Los estafadores vieron en este anuncio una oportunidad perfecta para captar el interés por este próximo airdrop y comenzan a crear campañas secuestrando cuentas de Twitter verificadas para conducir a los usuarios a sitios de phishing.
Los estafadores utilizan fuentes legítimas como Linktree para conducir a los usuarios a páginas falsas que aprovechan los activos de los sitios legítimos del proyecto NFT para elaborar sus sitios de phishing, lo que dificulta al aficionado promedio a las criptomonedas distinguirlos.
Estos sitios de phishing no se basan en sus nombres de usuario y contraseñas tradicionales. En su lugar, intentan convencer a los usuarios de que conecten sus billeteras de criptomonedas.
Los usuarios desprevenidos conceden explícitamente a estos sitios de phishing permiso para acceder a sus billeteras. Al hacerlo, los estafadores son capaces de transferir las monedas digitales como Ethereum ($ETH) o Solana ($SOL), así como cualquier NFT que se mantenga en estas billeteras.
"Las historias de "millonarios de la criptomoneda" son atractivas y aumentan el deseo de los usuarios de invertir en criptomonedas y NFT. Por desgracia, los estafadores entienden muy bien este interés y se aprovechan de aquellos que esperan obtener una ganancia excepcional", dijo Satnam Narang, ingeniero de investigación de Tenable.
srgs