Com mais de 400.000.000 de proprietários de carteiras de criptomoedas a nível mundial, conforme relatado pela Crypto.com, o aumento da popularidade das carteiras quentes deve-se à sua natureza acessível. Os serviços de armazenamento online, como as bolsas de criptomoedas e as aplicações dedicadas, tornaram-se os principais alvos dos cibercriminosos devido à sua constante ligação à Internet.
Os ataques de phishing dirigidos aos utilizadores de carteiras quentes utilizam, por norma, táticas relativamente simples, explorando frequentemente indivíduos sem conhecimentos técnicos. Os criminosos fazem-se passar por bolsas de criptomoedas reputadas através de e-mails fraudulentos, pedindo aos utilizadores que validem as transações ou reconfirmem a segurança das suas carteiras. As vítimas desprevenidas que clicam nas ligações são redirecionadas para páginas na Internet falsas que lhes pedem para introduzir a sua ‘frase semente’, um elemento essencial para a recuperação da carteira. Ao obterem acesso à ‘frase semente’, os burlões podem assumir o controlo da carteira da vítima e transferir fundos para as suas próprias contas.
Em contrapartida, as carteiras frias são sistemas de armazenamento totalmente offline, como um dispositivo dedicado ou mesmo uma chave privada anotada num papel. As carteiras de hardware são um tipo predominante de carteiras frias. Estas ganharam a preferência dos utilizadores que armazenam grandes quantidades de criptomoedas devido às suas medidas de segurança mais robustas. No entanto, os investigadores da Kaspersky descobriram recentemente uma campanha de phishing direcionada especificamente para explorar os proprietários de carteiras frias. Esta campanha é iniciada com um e-mail que se faz passar por uma bolsa de criptomoedas importante, a Ripple, atraindo os destinatários com a promessa de participação num sorteio de tokens XRP.
Em vez de direcionar as vítimas para uma página de phishing, os golpistas empregam uma técnica mais sofisticada, criando um post de blog fraudulento, que imita o design do site da Ripple. Este blog oferece aos utilizadores a oportunidade de participar num sorteio de tokens XRP, a criptomoeda interna da plataforma, seguindo determinada ligação. Depois de seguir o link para uma página falsa do Ripple, usando um nome de domínio que se assemelha muito ao domínio oficial (um ataque de phishing Punycode), é solicitado às vítimas que conectem as suas carteiras de hardware, como a Trezor ou a Ledger, ao site fraudulento. Esta interação permite aos burlões obter acesso às contas das vítimas e iniciar transações fraudulentas.
Desde a primavera de 2023, as soluções anti-spam da Kaspersky detetaram e bloquearam com sucesso mais de 85.000 e-mails fraudulentos destinados a utilizadores de criptomoedas. Esta campanha nefasta atingiu o seu pico em março, com mais de 34.000 mensagens maliciosas intercetadas. A Kaspersky continuou a proteger os utilizadores de criptomoedas em abril e maio, impedindo cerca de 19.902 e 30.816 e-mails fraudulentos, respetivamente.
"Estamos a assistir a um aumento contínuo da popularidade das criptomoedas e, com isso, à necessidade de os utilizadores se manterem alerta e implementarem fortes medidas de segurança para proteger os seus ativos digitais. É crucial verificar a autenticidade do remetente e ter cuidado antes de clicar em qualquer link ou fornecer informações confidenciais", afirma Roman Dedenok, especialista em segurança da Kaspersky.
Leia o relatório completo sobre a campanha de criptophishing em Securelist.com.