Phishing y Tácticas de los Estafadores
6 minutos
Sep 18th, 2023 - 17:32 pm
bc1xbt.ethPhishing
Para empezar, comencemos con una definición. ¿Qué es el phishing? El NIST (Instituto Nacional de Normas y Tecnología) lo define como:
Engañar a individuos para que revelen información personal sensible al afirmar ser una entidad de confianza en una comunicación electrónica (por ejemplo, sitios web en Internet).
En el mundo financiero tradicional, recuperarse del phishing, aunque puede ser molesto, a menudo es bastante sencillo. Hay servicios de protección de identidad, las compañías de tarjetas de crédito reembolsan transacciones fraudulentas y perder información personal identificable (PII, “personally identifiable information”) no suele resultar en la pérdida directa de todo el contenido de su cuenta bancaria de un solo golpe. Desafortunadamente, caer víctima del phishing en web3 puede tener ese efecto y es probablemente uno de los mayores obstáculos que impiden la adopción masiva de web3 hoy en día.
Imagen: Alguien haciéndose pasar por Feld ante uno de nuestros miembros de la comunidad en Discord.
¿Qué quieren los estafadores?
En la web3, los estafadores intentan que hagas una de estas tres cosas:
- Firmar una transacción maliciosa.
- Enviarles o filtrar tu Frase Semilla
- Conseguir que descargues malware (para facilitar una de las anteriores)
Tácticas de alto nivel de los estafadores
- Quieren ganarse tu confianza
- Harán todo lo posible para acortar la construcción de una relación. ¿Ven que no eres muy experto en tecnología? "Ellos tampoco lo son". ¿Eres nuevo en las plataformas de trading? ¡Qué coincidencia, "ellos también lo son"! Van a parecer, hablar e incluso hacerse pasar por alguien de confianza, como un influencer o un administrador/moderador de la comunidad.
- Harán todo lo posible para acortar la construcción de una relación. ¿Ven que no eres muy experto en tecnología? "Ellos tampoco lo son". ¿Eres nuevo en las plataformas de trading? ¡Qué coincidencia, "ellos también lo son"! Van a parecer, hablar e incluso hacerse pasar por alguien de confianza, como un influencer o un administrador/moderador de la comunidad.
- ¡Te van a meter prisa!
- ¿Recuerdas las tácticas de los infocomerciales de los años 90 y principios de los 2000? Incluso si no tienes la edad suficiente para recordarlos, probablemente hayas oído hablar de ellos en la cultura popular de vez en cuando. “Hazlo ahora y obtén dos por el precio de uno”. Cuando llega el momento de hacer la acción, incluso si han sido pacientes contigo hasta ese momento, te presionarán. Esta presión temporal nos hace cometer errores, no pensar con claridad y no nos da tiempo para pedir una segunda opinión.
- ¿Recuerdas las tácticas de los infocomerciales de los años 90 y principios de los 2000? Incluso si no tienes la edad suficiente para recordarlos, probablemente hayas oído hablar de ellos en la cultura popular de vez en cuando. “Hazlo ahora y obtén dos por el precio de uno”. Cuando llega el momento de hacer la acción, incluso si han sido pacientes contigo hasta ese momento, te presionarán. Esta presión temporal nos hace cometer errores, no pensar con claridad y no nos da tiempo para pedir una segunda opinión.
- Son extremadamente persistentes durante días y semanas.
- ¿Tienes NFTs o activos de alto valor de las llamadas "colecciones blue chip"? Prepárate para ser el blanco de ingenieros sociales sofisticados de formas que nunca antes habías experimentado. Alguien que se hace pasar por tu amigo durante meses solo para robar tus activos. Ha ocurrido. Alguien que aprende todo sobre tu proyecto ofreciéndote ayuda durante semanas solo para intentar aplicar sus tácticas de estafador al final del trato. Sí, también hemos visto eso.
- ¿Tienes NFTs o activos de alto valor de las llamadas "colecciones blue chip"? Prepárate para ser el blanco de ingenieros sociales sofisticados de formas que nunca antes habías experimentado. Alguien que se hace pasar por tu amigo durante meses solo para robar tus activos. Ha ocurrido. Alguien que aprende todo sobre tu proyecto ofreciéndote ayuda durante semanas solo para intentar aplicar sus tácticas de estafador al final del trato. Sí, también hemos visto eso.
- Van a buscar ayuda
- Tal vez figen no saber cómo funciona algo y traen a su "amigo" para ayudarles a entender una plataforma de trading. Tal vez quieren demostrar fiabilidad y te lleven a un servidor de Discord con miles de personas (en su mayoría, bots falsos). Sea cual sea la razón, siempre debes sospechar de alguien que trae a una segunda persona para convencerte de algo o para ayudar como intermediario en una operación. El 99% de las veces significa que estás cayendo en una trampa.
- Tal vez figen no saber cómo funciona algo y traen a su "amigo" para ayudarles a entender una plataforma de trading. Tal vez quieren demostrar fiabilidad y te lleven a un servidor de Discord con miles de personas (en su mayoría, bots falsos). Sea cual sea la razón, siempre debes sospechar de alguien que trae a una segunda persona para convencerte de algo o para ayudar como intermediario en una operación. El 99% de las veces significa que estás cayendo en una trampa.
- Aprovechan la inexperiencia (especialmente en eventos que no se hacen con frecuencia)
- Si has estado en un servidor de Discord como OpenSea, protocolos DeFi importantes u otras plataformas, notarás un tema común. Si alguna vez haces una pregunta en sus canales de soporte sin desactivar tus mensajes directos en ese servidor, serás bombardeado por personas de soporte que te ofrecen ayuda. Detectan a los principiantes como los tiburones detectan la sangre en el agua. Ven a ese objetivo fácil y se enfocan en él.
Entonces, Volviendo al Phising: El Manual de los Estafadores
A los estafadores les encanta aprovechar la naturaleza insegura de las redes sociales. Discord y Twitter no fueron diseñados con un enfoque en la seguridad, como la mayoría de los productos, fueron creados con un enfoque en el producto y la seguridad se agregó al final. Esto significa que, dado que la seguridad nunca fue su enfoque desde el principio, nunca será tan buena como podría haber sido si Twitter y Discord hubieran sido más conscientes de las implicaciones de seguridad de sus elecciones de diseño desde el primer día. En un espacio que está lleno de FOMO (Fear Of Missing Out, miedo a perderse algo), no es de extrañar por qué los estafadores han tenido tanto éxito en robar NFTs. ¿Pero cómo aplican esas tácticas en la práctica?
- Todo empieza con sacarte de la zona segura de los marketplaces y llevarte al dominio del estafador.
- No hemos visto grandes estafas que hayan tenido lugar completamente en un marketplace. Es decir, hasta la fecha, ningún estafador ha llevado a cabo una estafa sin que un usuario salga nunca de la zona segura. Debido a esto, muchas personas se sienten protegidas cuando creen que están en estos sitios. Los estafadores saben que no siempre pueden atraerte a algún sitio web aleatorio y al mismo tiempo hacer que bajes la guardia. Por eso, el phishing es fundamental. Conseguir que vayas a un sitio web que crees que es el correcto es el santo grial de las tácticas de los estafadores.
- En la web3, esto es aún más importante porque no importa necesariamente en qué sitio creas que estás y/o lo que estás haciendo, si no prestas atención, el sitio de phishing puede mostrar una sugerencia de transacción que, si no tienes cuidado, puede ser la temida transacción 'SAFA', como se describe en nuestro artículo sobre aprobaciones.
- Casi todo termina con una Firma Maliciosa, una Transferencia o Transacción de Aprobación (pero no siempre).
- Te han llevado a su web, ¿y ahora qué? Bueno, la magia sucede tan pronto como conectas tu billetera a su web, ya que se ejecuta un script. Ese script generalmente ejecuta otro script que verifica el valor de la dirección de tu billetera que conectaste y ve dónde pueden obtener la mayor ganancia. Como se describe en el artículo de aprobaciones mencionado anteriormente, ya que las aprobaciones se realizan por dirección de billetera, por token y por plataforma (o dirección). El hacker querrá obtener la mayor ganancia en la primera aprobación, antes de que puedas darte cuenta de lo que están haciendo.
- Entonces, digamos que tienes dos Mutant Apes como tus activos más valiosos. Una sola transacción de "Establecer Aprobación para Todos" le dará al estafador la capacidad de sacar ambos de esos activos de tu billetera, ¡en una sola transacción! ¿Quizás esos activos ya tienen aprobaciones? Bueno, los estafadores saben que las firmas que no requieren gas son menos comprendidas por los usuarios finales, por lo que mostrarán tipos de firmas fuera de la cadena, como se describe en nuestro artículo "Firma Segura 101".
- Te han llevado a su web, ¿y ahora qué? Bueno, la magia sucede tan pronto como conectas tu billetera a su web, ya que se ejecuta un script. Ese script generalmente ejecuta otro script que verifica el valor de la dirección de tu billetera que conectaste y ve dónde pueden obtener la mayor ganancia. Como se describe en el artículo de aprobaciones mencionado anteriormente, ya que las aprobaciones se realizan por dirección de billetera, por token y por plataforma (o dirección). El hacker querrá obtener la mayor ganancia en la primera aprobación, antes de que puedas darte cuenta de lo que están haciendo.
¿Tienes alguna pregunta o quieres saber más sobre ciberseguridad en web3 y estar al día de la información, los fraudes y las tácticas de seguridad más recientes? Unéte a nosotros en un nuestro discord https://discord.gg/boringsecurity .
