En el mundo de las criptomonedas, las finanzas descentralizadas (defi) y Web3, los airdrops se han convertido en algo común en la industria. Sin embargo, aunque los airdrops suenan como dinero gratis, ha habido una tendencia creciente de estafas de phishing de airdrops que roban el dinero de las personas cuando intentan obtener los llamados activos criptográficos “gratuitos”. El siguiente es un vistazo a dos formas diferentes en que los atacantes usan estafas de phishing para robar fondos y cómo puede protegerse.
Los Airdrops no siempre significan ‘criptomonedas gratis’: muchas promociones de sorteos de Airdrop buscan robarte
Los lanzamientos aéreos han sido sinónimo de fondos criptográficos gratuitos, tanto que se ha vuelto frecuente una estafa criptográfica creciente llamada phishing de lanzamiento aéreo. Si participa en la comunidad criptográfica y usa plataformas de redes sociales como Twitter o Facebook, probablemente haya visto una serie de publicaciones de spam que anuncian lanzamientos aéreos de todo tipo.
Por lo general, una cuenta criptográfica popular de Twitter hace un tweet y es seguido por una gran cantidad de estafadores que anuncian intentos de phishing y muchas cuentas que dicen que han recibido dinero gratis. La mayoría de las personas no caerán en estas estafas de lanzamiento aéreo, pero debido a que los lanzamientos aéreos se consideran criptográficos gratuitos, ha habido un montón de personas que han perdido fondos al ser víctimas de este tipo de ataques.
El primer ataque utiliza el mismo método de publicidad en las redes sociales, ya que varias personas o bots envían un enlace que conduce a la página web de estafas de phishing airdrop. El sitio web sospechoso puede parecer muy legítimo e incluso copiar algunos de los elementos de proyectos populares de Web3, pero al final, los estafadores buscan robar fondos. La estafa de lanzamiento aéreo gratuito podría ser un token criptográfico desconocido, o también podría ser un activo digital existente popular como BTC, ETHSHIB, DOGE, y más.
El primer ataque generalmente muestra que el airdrop es cobrable, pero la persona debe usar una billetera Web3 compatible para recuperar los llamados fondos “gratuitos”. El sitio web llevará a una página que muestra todas las billeteras Web3 populares como Metamask y otras, pero esta vez, al hacer clic en el enlace de la billetera, aparecerá un error y el sitio le pedirá al usuario la frase inicial.
Para obtener soporte, abra MetaMask y navegue hasta “Soporte” u “Obtener ayuda” en el menú desplegable. No confíes en nadie que te haya enviado un mensaje directo. ¡BAJO NINGUNA CIRCUNSTANCIA debe proporcionar su Frase secreta de recuperación a nadie ni ingresarla en ningún sitio!
— Soporte de MetaMask (@MetaMaskSupport) 29 de abril de 2022
Aquí es donde las cosas se ponen turbias porque una billetera Web3 nunca solicitará la semilla o la frase mnemotécnica 12-24 a menos que el usuario esté restaurando activamente una billetera. Sin embargo, los usuarios desprevenidos de la estafa de phishing airdrop pueden pensar que el error es legítimo e ingresar su semilla en la página web, lo que eventualmente conduce a la pérdida de todos los fondos almacenados en la billetera.
Básicamente, el usuario acaba de dar las claves privadas a los atacantes al caer en la página de error de la billetera Web3 que solicita una frase mnemotécnica. Una persona nunca debe ingresar su semilla o una frase mnemotécnica de 12 a 24 si se lo solicita una fuente desconocida y, a menos que sea necesario restaurar una billetera, nunca es necesario ingresar una frase inicial en línea.
Otorgar permisos a Shady Dapp no es la mejor idea
El segundo ataque es un poco más complicado, y el atacante utiliza los tecnicismos del código para robar al usuario de la billetera Web3. De manera similar, la estafa de phishing de lanzamiento aéreo se anunciará en las redes sociales, pero esta vez, cuando la persona visite el portal web, puede usar su billetera Web3 para “conectarse” al sitio.
Sin embargo, el atacante ha escrito el código de tal manera que, en lugar de otorgarle al sitio acceso de lectura a los saldos, el usuario finalmente le otorga al sitio permiso completo para robar los fondos en la billetera Web3. Esto puede suceder simplemente conectando una billetera Web3 a un sitio fraudulento y dándole permisos. El ataque se puede evitar simplemente no conectándose al sitio y alejándose, pero hay muchas personas que han caído en este ataque de phishing.
Aquí está la última estafa de phishing
1️⃣ Airdrop un token
2️⃣ Cree un sitio web con el mismo nombre para que sea fácil de encontrar
3️⃣ Cuando encuentra lo que parece estar apostando por este token, Appprove txn otorga un gasto ilimitado de otros tokens (es decir, SNX)Luego drenan su billetera de la ficha. pic.twitter.com/vICIeC5rGk
— DeFi Dad ⟠ defidad.eth (@DeFi_Dad) 20 de diciembre de 2021
Otra forma de proteger una billetera es asegurarse de que los permisos Web3 de la billetera estén conectados a sitios en los que el usuario confía. Si hay aplicaciones descentralizadas (dapps) que parecen sospechosas, los usuarios deben eliminar los permisos si se conectaron accidentalmente a la dapp al caer en la estafa criptográfica ‘gratuita’. Sin embargo, por lo general, es demasiado tarde, y una vez que la dapp tiene permiso para acceder a los fondos de la billetera, se le roba la criptografía al usuario a través de la codificación maliciosa aplicada a la dapp.
La mejor manera de protegerse de los dos ataques mencionados anteriormente es nunca ingresar su frase semilla en línea a menos que esté restaurando una billetera a propósito. Además de esto, también es una buena forma nunca conectarse o otorgar permisos de billetera Web3 a sitios web y dapps sospechosos de Web3 con los que no está familiarizado. Estos dos ataques pueden causar grandes pérdidas a los inversores desprevenidos si no tienen cuidado con la tendencia actual de phishing de airdrop.
¿Conoces a alguien que haya sido víctima de este tipo de estafa de phishing? ¿Cómo detecta los intentos de criptophishing? Háganos saber sus pensamientos en los comentarios.
Créditos de imagen: Shutterstock, Pixabay, Wiki Commons
Descargo de responsabilidad: Este artículo es solo para fines informativos. No es una oferta directa ni una solicitud de una oferta de compra o venta, ni una recomendación o respaldo de ningún producto, servicio o empresa. Bitcoin.com no proporciona asesoramiento de inversión, fiscal, legal o contable. Ni la empresa ni el autor son responsables, directa o indirectamente, de ningún daño o pérdida causados o presuntamente causados por o en relación con el uso o la confianza en cualquier contenido, bienes o servicios mencionados en este artículo.
