Una nueva campaña de phishing tiene como objetivo robar credenciales de billeteras de criptomonedas para apoderarse del saldo de los usuarios desprevenidos.
El engaño fue alertado por la compañía de ciberseguridad ESET al advertir que "uno de los sitios falsos utiliza un nombre similar al de OpenSea", una de las plataformas más utilizadas para comercializar Tokens no fungibles (NFT).
El portal falso, el cual a simple vista parece similar al oficial, posee algunos caracteres que pueden pasar desapercibidas para quien realiza la operación de manera apurada.
No se debe perder de vista que los monederos de sus usuarios son el punto débil del que se basaron los hackers para hacerse del dinero de las personas afectadas.
Desde ESET explicaron que al elegir una de las billeteras que soporta WalletConnect, como Metamask, el sitio legítimo redirige al sitio oficial Metamask, mientras que los portales de phishing llevan a la potencial víctima a una página dentro del mismo dominio para que el usuario entregue la clave privada o frase semilla para supuestamente vincular su cuenta.
"De esta manera, si el usuario cae en el engaño estará entregando al cibercriminal el acceso a la billetera", alertaron desde la compañía de seguridad.
La firma de ciberseguridad Check Point Software denunció que "detectó el robo de carteras virtuales de usuario de OpenSea, la plataforma más grande dentro del mercado de los tokens no fungibles (NFT)".
Según explicó la compañía, encontró diferentes casos de usuarios que perdieron la totalidad de su saldo tras recibir un mensaje en el que el marketplace les ofrecía un presunto regalo, puntapié inicial del engaño ideado por ciberdelincuentes.
Desde Check Point Research descubrieron una serie de fallos de seguridad críticos en OpenSea y demostraron que una NFT maliciosa se había utilizado para vaciar estos monederos virtuales.
Tras tomar conocimiento del problema, desde el marketplace solucionaron el problema para evitar "robos de carteras de criptomonedas de los usuarios".
Para evitar este tipo de engaños que pueden generarle muchas complicaciones a los usuarios desprevenidos, os expertos recomiendan nunca ingresar datos de acceso cando son solicitados desde links de dudosa procedencia.
Además, antes de descargar cualquier archivo o aplicación en los dispositivos, es clave hacerlo desde páginas o tiendas oficiales, chequear los permisos que solicitan, los comentarios de los usuarios que la descargaron y cantidad de descargas.