¿Se puede hacer phishing de una hardware wallet?

La seguridad sigue siendo una de las mayores barreras para la adopción generalizada de cripto. Dentro del ámbito más amplio de la seguridad, el phishing de credenciales y claves privadas se destaca como uno de los problemas de seguridad más importantes a combatir. Algunos de los consejos más comunes que nosotros y otros equipos de seguridad damos a los usuarios finales es fomentar el uso de carteras de hardware. La clave privada nunca sale del dispositivo, lo que significa que no tienes una clave privada que pueda ser objeto de suplantación de identidad, ¿verdad?

¡Incorrecto! Las carteras de hardware hacen que sea más difícil para los atacantes cometer suplantación de identidad, pero así es como lo están haciendo actualmente. Eche un vistazo a un nuevo kit de phishing que se ha dirigido a los usuarios de carteras de hardware de Trezor.

Paso 1: Recibe un enlace de phishing

La primera etapa es recibir un enlace de phishing. Esto podría haber sido a través de cualquier medio, pero en el espacio criptográfico, las opciones populares incluyen Telegram, Email, Twitter, Discord o Reddit.

Si hace clic en el enlace, accederá a esta página:


Este es un clon casi perfecto del proceso de incorporación estándar de Trezor.


Paso 2: Generar confianza

Los estafadores en este caso han incluido las mismas advertencias que Trezor le muestra para asegurarse de que su dispositivo no haya sido manipulado. De forma predeterminada, Trezor se envía con sellos holográficos a prueba de manipulaciones en su empaque que le permiten al usuario final saber si el dispositivo se ha abierto en tránsito para el usuario.


Incluir información de seguridad como esta en un sitio de phishing es una estrategia común utilizada por los atacantes para adormecer al usuario final con una falsa sensación de seguridad. A continuación, se muestra la siguiente pantalla, que incluye instrucciones para “Conectar su Trezor para continuar”.


El kit de phishing tiene un retraso incorporado que activa la etapa final, ya sea que conecte o no su dispositivo Trezor.


Paso 3: ¡Tiro mortal!

Ahora que ha recorrido el camino a través del sitio web de phishing de los atacantes, comienza la parte final del proceso.


Aparece un cuadro emergente que le notifica de un "Error de hardware" que requiere que ingrese su semilla de recuperación de 12 palabras para restaurar su billetera. Por supuesto, si lo hace, su semilla de recuperación se envía al servidor de los atacantes y su criptografía se eliminará de su billetera en cuestión de minutos.


Mantenerse seguro en línea

¿Son las carteras de hardware una mala idea? Absolutamente no. El uso de una billetera de hardware es una de las formas más seguras de almacenar sus fondos actualmente. De hecho, recomendamos encarecidamente a cualquiera que lea esto y que esté acumulando alguna criptografía a obtener una. Sin embargo, recuerde que no es inmune al mayor riesgo de seguridad en la industria de la criptografía en este momento: el phishing. Estos son nuestros principales consejos para mantenerse seguro en línea:

No se pierda Nuestras Historias