Era solo cuestión de tiempo antes de que los phishers llevaran los ataques contra la industria de la criptografía un paso más allá al integrar sus ataques con el ecosistema web3. Hasta este momento, los phishers se han centrado en obtener acceso a las frases iniciales, claves privadas o nombres de usuario y contraseñas de los usuarios. Hoy, eso cambió. Un mundo de aplicaciones DeFi, que solo interactúan con un usuario a través de su billetera y nunca requieren que un usuario ingrese credenciales, frases de recuperación o contraseñas en ellos, ahora está siendo objetivo. Estos nuevos ataques están comenzando a explotar las herramientas que usamos para interactuar con nuestra criptografía.

En las últimas dos semanas, comenzamos a detectar los primeros casos de estos ataques en la naturaleza, siendo la primera víctima MakerDAO. En esta publicación de blog, se detallan las novedades de estos ataques y por qué predecimos que es probable que se vuelvan más comunes en 2020.


El Phish MakerDAO

Nuestros analistas se dieron cuenta de la suplantación de identidad de MakerDAO después de recibir un informe de la comunidad para las herramientas de makerdao [.] El 14 de enero. El sitio web fraudulento imitó el proceso de conversión de SAI a DAI.



Herramienta maliciosa de migración de SAI a DAI


Usó una estética similar a Maker, con un esquema de color claro minimalista y un logotipo de Maker. Un ataque de phishing bastante típico. Puede ver el portal legítimo que se muestra a continuación.



Herramienta legítima de migración de SAI a DAI


Después de hacer clic en el botón "continuar" en el phish, procedió a solicitar acceso a MetaMask.


Pantalla de confirmación de MetaMask


Nuevamente usando el logo de Maker, un nombre de "Upgrade Sai to Dai", y en este caso el dominio de clic migrate.makerdao [.] Bastante discreto. Una vez conectado, la pantalla principal cambia a una pantalla pendiente indicando que estaba esperando recibir el SAI.



Pantalla pendiente en el sitio de phishing


En este momento, MetaMask le preguntará si desea enviar el SAI.



Pantalla de confirmación de transacción de MetaMask

Al visitar la dirección en Etherscan, podemos ver que en el momento de escribir este artículo, no se implementa ningún código en la dirección, lo que significa que es muy probable que sea una cuenta normal controlada por el phisher.



Dirección de Ethereum del atacante


Desde que nos notificamos del ataque, detectamos otros 3 ataques dirigidos a MakerDao:

ayuda de makerdao [.]

makerdao [.] efectivo

makerdao [.] en vivo


¿No son las viejas noticias del cripto phishing?

Las aplicaciones criptográficas que son blanco de phishing no deberían ser una sorpresa. De hecho, estamos muy familiarizados con estos ataques, ya que hemos ayudado a proteger varias aplicaciones criptográficas de phishing, incluidas las de Binance DEX, MEW e IDEX. Hasta ahora, el crypto-phishing se ha limitado a los kits de phishing tradicionales, cuyo objetivo es robar las credenciales de las víctimas o engañar socialmente a los usuarios para que envíen fondos a una dirección específica. Este enfoque es familiar para los atacantes, ya que es tecnológicamente similar a web2.0: clona un sitio web, conecta un backend para recolectar credenciales y listo, puedes lanzar una campaña de phishing contra un intercambio. Sin embargo, cuando eres un usuario criptográfico, tu nombre de usuario y contraseña son solo el comienzo de tus problemas, y los phishers están comenzando a darse cuenta de esto.

Lo nuevo de estos ataques es que están comenzando a explotar las herramientas específicas que usamos para interactuar con nuestra criptografía. Comenzamos a ver los primeros signos de esto el año pasado cuando los atacantes comenzaron a crear ataques dirigidos a Trezor. Para atacar estos dispositivos confiables, los phishers intentaron manipular socialmente a la víctima para que entregara su frase inicial notificándoles que el dispositivo había sido dañado. Una idea bastante ingeniosa para eludir todos los controles de seguridad integrados en el propio dispositivo.

Ahora, los atacantes han pasado a integrarse con web3 para imitar más de cerca el comportamiento legítimo de las aplicaciones. Vemos que este es un problema creciente por algunas razones.


La configuración es sencilla

El phishing es el vector de ataque más común utilizado por los ciberdelincuentes para lanzar ataques. Esto se debe en parte al requisito de habilidad relativamente bajo para realizar este tipo de ataque. Comprar un kit de phishing básico en la darkweb puede costar tan solo unos pocos dólares y, con un poco de conocimientos técnicos, puede llevar menos de una hora configurarlo. Moviéndonos ligeramente hacia arriba en la cadena de producción, tenemos a los desarrolladores de los kits. Aquí sube la barrera técnica, que requiere al menos habilidades básicas de desarrollo web. Si bien es posible utilizar una herramienta como HTTrack para clonar el front-end de un sitio web y conectarlo a un backend existente, para los sitios web tradicionales a menudo es necesario modificar el front-end para incluir algunas funciones específicas.

La formación sobre concienciación sobre la suplantación de identidad (phishing) suele aconsejar a los usuarios que se mantengan atentos en busca de discrepancias entre el sitio web en el que se encuentran actualmente y la versión que conocen. ¿Son iguales las fuentes? ¿Están saliendo las imágenes? ¿Ha cambiado el flujo del proceso? Es posible que esté en un sitio web de phishing. Esto suele ayudar porque los desarrolladores de phishing a menudo valoran la cantidad sobre la calidad.

Sin embargo, una parte fundamental de las dApps es que tiene la capacidad de descargarlas y ejecutarlas en su propia máquina, eliminando la necesidad de depender de un servidor web potencialmente comprometido para servirle su dApp. Esto significa que les estamos dando a estos estafadores todos nuestros productos en una bandeja de oro, y les permitimos convertirlos en armas cambiando una sola línea de código. ¿Qué sucede cuando en lugar de pedirle a web3 que firme un mensaje para autenticar a un usuario, el atacante cambia la lógica para enviar todo el ETH en la billetera actual? La interfaz se renderizará y funcionará perfectamente desde el primer momento. Clonar contenido nunca ha sido tan fácil.


Crypto UX sigue siendo confuso

Si bien se han realizado importantes avances para la mejora del estándar de UX en el universo cripto en 2019, todavía estamos operando en un espacio que es impulsado y utilizado en gran medida por mentes técnicas. Para darle un ejemplo de esto, consideremos el proceso de intercambio de ETH a sUSD en uniswap.

Paso 1

Visite el sitio web uniswap.exchange .


Uniswap URL


Paso 2

Conecte MetaMask e inicie un intercambio de token.



Intercambio de ETH por sUSD en Uniswap


Paso 3 

Confirma la transacción.




Confirmando el intercambio de tokens.

Entonces aquí comienza el problema. ¿Cómo puedo asegurarme de que nada ha salido mal y de que estoy realizando la acción que esperaba con el contrato inteligente? Tal vez sea útil hacer clic en el botón "DATOS".



La pestaña de datos de la transacción.

Bueno, eso no ayuda. Los datos no se analizaron, por lo que, como usuario promedio, no tengo ni idea de lo que estoy firmando. Al menos sé que lo está enviando a 0xAb72 ... 14AE, que es la verdadera dirección uniswap, ¿verdad? Incorrecto. De hecho, echa un vistazo a la URL de la primera foto. ¿Notas algo extraño sobre la letra "i" en uniswap?

Para darle otro ejemplo de cómo las cosas pueden salir mal, volvamos a las carteras de hardware. Realizar la acción más básica de transferir un token ERC20 debería ser simple. Aquí, estamos a punto de usar MEW para enviar 1 USDC a otra dirección.




Envío de 1 USDC a una dirección

Estamos enviando fondos almacenados en nuestro Trezor, por lo que, naturalmente, debemos confirmar la transacción.


Confirmación de una transferencia de token en un Trezor


Además del hecho de que el valor del token no se pudo analizar, nuevamente se espera que reconozcamos que los 42 caracteres coincidieron correctamente. Lo que, por cierto, no vieron, ¿te diste cuenta? En caso de que no lo supiera, los atacantes pueden generar direcciones dinámicamente que controlan para que coincidan con los primeros y últimos caracteres de una dirección. Ya sea que se trate de malware en su sistema, una dApp comprometida o un sitio web de phishing, debe verificar al menos 5 caracteres en cada extremo de una dirección ETH o BTC, y cuantos más, mejor.

La concientización del usuario criptográfico es más difícil

Dada la cantidad de tecnología y la velocidad a la que está cambiando, un usuario promedio tendrá dificultades para mantenerse al tanto de cómo evitar el phishing. En web2.0, vimos que esto era un problema cuando durante años se les dijo a los usuarios que buscaran el candado verde en un sitio. Luego, los phishers comenzaron a usar HTTPS y, de repente, esa verificación falló. Luego, se eliminaron los indicadores visuales de los certificados de validación extendida. Recuerda este look:





Aspecto del certificado EV original


Después de decirle a los usuarios durante más de una década que buscaran indicadores visuales específicos, los navegadores los eliminaron (porque eran engañosos).

Sin duda, vamos a enfrentar problemas similares en el espacio criptográfico a medida que resolvemos las cosas: ¿cómo se asegura que una dirección ENS se resuelva correctamente? ¿Verifica que un servidor web no haya modificado el código dApp? ¿Estás interactuando con el smart contract correcto? Con el tiempo, desarrollaremos más estándares y herramientas para ayudar a proteger a los usuarios, pero mientras tanto, las mentes maliciosas se aprovecharán al máximo de estas brechas.

Conclusión 

Las criptomonedas son un objetivo de alto valor para los delincuentes y, como tal, podemos esperar que se inviertan una inmensa cantidad de recursos en el desarrollo de nuevos ataques dirigidos a sus usuarios. Ya podemos ver los primeros movimientos que realizan los phishers, por lo que es importante que nos mantengamos a la vanguardia. El buen diseño de UX, la educación del usuario y el desarrollo orientado a la seguridad contribuyen a esto.

Mientras tanto, puede instalar nuestro complemento de browser plugin que puede ayudarlo a protegerse contra una serie de amenazas mencionadas en esta publicación.

Consultas? Comuníquese en Twitter o Telegram. Suscríbase a nuestra fuente RSS para recibir nuestras últimas actualizaciones.


No se pierda Nuestras Historias