Un ataque de phishing a gran escala se presenta como una migración de cartera obligatoria, engañando a los destinatarios en la implementación de una nueva cartera con una oración de recuperación previamente generada controlada por los atacantes.
Los correos electrónicos tienen un sujeto a “migrar a la cartera de Coinbase” e indican que todos los clientes deben cambiar a billeteras automáticas. El correo electrónico también proporciona instrucciones sobre cómo descargar la cartera legítima de Coinbase.
“Desde el 14 de marzo, Coinbase pasó a las carteras de Auto-US. Después de una apelación colectiva que alega títulos no registrados y sin licencia, el tribunal obligó a que los usuarios administran sus propias billeteras”, dice el correo electrónico de Phishing Coinbase.
“Coinbase funcionará como un corredor grabado, permitiendo compras, pero todos los activos deben moverse a Coinbase Wallet”.
“Su oración de recuperación única a continuación es su identidad de Coinbase. Otorga acceso a sus fondos escritos y guárdela de manera segura. Impérdelo en la cartera de Coinbase ingresando cada palabra seguido de un spa
Fuente: BleepingCompute
El correo electrónico afirma ser Coinbase pero tiene una dirección de respuesta a noreply@akamai.com. También se envía desde la dirección IP 167.89.33.244, que es una dirección IP SendGrid que se resuelve a través de DNS en o1.soha.akamai.com.
Como el correo electrónico parece haber sido enviado directamente a través de SendGrid y lo que parece ser la cuenta de Akamai, pasa las verificaciones de seguridad del correo electrónico SPF, DMARC y DKIM, evitando filtros de spam en muchas cuentas.
Fuente: BleepingCompute
BleepingComputter contactó a Akamai para preguntarle si una de sus cuentas de SendGrid se había comprometido y se le envió la siguiente declaración.
“Akamai es consciente de los informes sobre una posible estafa de phishing que se dirige a los usuarios de Coinbase que involucra un campo de mensajería de Akamai. Tomamos la seguridad de la información muy en serio e investigamos activamente el problema”, Akamai a Bleeping composter.
“Las estafas de phishing siguen siendo un ciberdelino generalizado, e instamos a todos los usuarios a ser cautelosos si reciben correos electrónicos sin frases, en particular aquellos que requieren información personal o de cuenta. Si sospecha que un correo electrónico puede ser un intento de phishing, trátelos como tales y evite hacer clic en enlaces o proporcionar información confidencial”.
“Trabajamos para abordar la situación y continuaremos monitoreando y mitigando los riesgos relacionados. Mientras tanto, recomendamos una mayor vigilancia para ayudar a proteger su información personal”.
Una campaña inteligente de criptomontea
Lo que distingue esta campaña de phishing es que no hay enlaces de phishing presentes en el correo electrónico, y todos los enlaces van a la página legítima de la cartera de Coinbase.
En cambio, el correo electrónico de phishing incluye una oración de recuperación que, según el correo electrónico de Phishing, debe usarse para configurar su nueva cartera de Coinbase.
Las oraciones de recuperación, también llamadas “semillas”, son una serie de palabras que funcionan como una versión legible por el hombre de la clave privada para una cartera de criptomonedas.
Cualquiera que conozca esta oración de recuperación puede importar la cartera en sus propios dispositivos, lo que les permite robar cualquier criptomonedas y NFT almacenados en el interior.
Mientras que la mayoría de las estafas de phishing de criptomonedas intentan robar su oración de recuperación, que luego es utilizada por el atacante para robar sus fondos, este último actúa al revés.
Este correo electrónico de phishing es muy inteligente, porque en lugar de robar su oración, le da uno que ya es conocido y controlado por el atacante.
Una vez que un usuario configura una nueva cartera con esta oración y transferir fondos allí, todos los activos ahora estarán disponibles para el jugador de amenazas que luego puede transferirlos a otra cartera que controlan.
Coinbase es consciente de la estafa, señalando a Bleeping para ser un artículo sobre X donde dice que nunca cubren las oraciones a los clientes.
“Recordatorio: tenga cuidado con las estafas con la oración de recuperación”, Coinbase publicado en x.
“Somos conscientes de los nuevos correos electrónicos de phishing que pretenden ser la cartera de Coinbase y Coinbase. Nunca le enviaremos una oración de recuperación, y nunca debe ingresar una oración de recuperación que le dio otra persona”.
Para todos los que han caído en esta estafa, si los fondos aún están disponibles en la cartera recién creada, debe transferirlos rápidamente antes de ser robado por los actores de amenazas.
Aunque la regla siempre ha sido nunca compartir su oración de recuperación con otra persona o un sitio web, ahora debe extenderse para nunca usar una recuperación compartida con usted por correos electrónicos y sitios web, porque probablemente estén utilizados para robar su criptomoneda.
Basado en un análisis de las acciones maliciosas de 14 millones, descubra las 10 técnicas principales ATTR & CK con el 93% de los ataques y cómo defenderse contra ellos.