Periodista falso, hacker real: revelando el nuevo truco de estafa de Crypto Twitter

En los últimos meses, conocidos líderes de opinión se han convertido en el principal objetivo de ataques de ingeniería social, y la cuenta oficial de Twitter del proyecto también ha sido robada con frecuencia.

Escrito por: Luccy, trabajadora del ritmo, BlockBeats

En el círculo monetario, Twitter, como principal red social, es una plataforma importante para el intercambio de información, pero también expone muchos riesgos de seguridad. En los últimos meses, ha surgido una nueva tendencia de robo: conocidos líderes de opinión (KOL) se han convertido en los principales objetivos de los ataques de ingeniería social, y la plataforma de redes sociales oficial del proyecto X (anteriormente Twitter) ha sufrido frecuentes robos de cuentas.

Estos ataques bien planificados no sólo violan la privacidad personal, sino que también amenazan la seguridad de todo el activo digital. BlockBeats explorará varios casos recientes de ataques de ingeniería social contra KOL conocidos, revelando cómo los atacantes utilizan métodos de fraude cuidadosamente diseñados y cómo los KOL y los usuarios comunes pueden estar más atentos para protegerse contra amenazas en línea cada vez más rampantes.

Reporteros falsos disfrazados, ataques de ingeniería social a KOL

Según estadísticas incompletas de BlockBeats, la persona que fue atacada inicialmente por los trabajadores sociales fue el editor jefe del medio de comunicación estadounidense "Forbes". Después de comunicarse con Kol@0xmasiwei encriptado sobre friend.tech y otros proyectos falsos de SocialFi, el impostor le envió un enlace de "verificación de identidad" de friend.tech. Después de la verificación por parte del personal de seguridad de SlowMist, el enlace es un enlace de phishing.

Además, el fundador de SlowMist, Yu Xian, determinó que la herramienta de personalización integrada de friend.tech, FrenTechPro, es una estafa de phishing. Después de que los usuarios hagan clic en ACTIVAR AHORA, los piratas informáticos seguirán intentando robar activos relacionados con la billetera.

Dos meses después, PeckShield volvió a detectar un incidente similar.

El 18 de diciembre, Kofi (@0xKofi), investigador de datos criptográficos y colaborador de DeFiLlama, publicó en la plataforma de redes sociales que los contratos y las dApps de DefiLama son vulnerables a vulnerabilidades, lo que requiere que los usuarios hagan clic en el enlace adjunto al tweet para verificar la seguridad de los activos. Este es un ejemplo típico de un ataque de ingeniería social: los estafadores aprovecharon el miedo de los usuarios a las vulnerabilidades y les hicieron bajar la guardia ante los enlaces fraudulentos.

Ayer a las 2 de la mañana, @0xcryptowizard sufrió un ataque de ingeniería social, que una vez más desencadenó discusiones en el círculo de cifrado. @0xcryptowizard utilizó chino "traducido automáticamente" para promocionar la inscripción de Arbitrum en las plataformas de redes sociales y adjuntó un enlace perfecto. Según los miembros de la comunidad, la billetera se vació tan pronto como hicieron clic en el enlace.

En respuesta, @0xcryptowizard publicó que el estafador aprovechó su descanso para publicar el enlace de phishing. Posteriormente, @0xcryptowizard adjuntó un recordatorio en su perfil de Twitter: "No se publicarán enlaces en el futuro; no haga clic en enlaces en tweets".

En cuanto al motivo del robo, @0xcryptowizard dijo que fue un fraude en línea bien planificado. El atacante @xinchen_eth se hizo pasar por un periodista del conocido medio de criptomonedas Cointelegraph y se puso en contacto con el objetivo con el pretexto de concertar una cita para una entrevista. El atacante fue engañado para que hiciera clic en un enlace de cita aparentemente normal disfrazado de una página de citas de Calendly, una popular herramienta de programación. Sin embargo, en realidad se trata de una página disfrazada cuyo verdadero propósito es completar la autorización de la cuenta de Twitter @xinchen_eth y así obtener sus permisos de Twitter.

Durante este proceso, incluso si sospechaba del enlace, el diseño y la presentación de la página le hicieron pensar erróneamente que se trataba de una interfaz de citas normal de Calendly. De hecho, la página no mostraba ninguna interfaz autorizada por Twitter, sólo la interfaz de la hora de la cita, lo que le llevó a un malentendido. En retrospectiva, @0xcryptowizard cree que los piratas informáticos pueden haber disfrazado hábilmente la página.

Finalmente, @0xcryptowizard recuerda a otros líderes de opinión conocidos (KOL) que tengan mucho cuidado y no hagan clic fácilmente en enlaces desconocidos, incluso si parecen páginas de servicios normales. La naturaleza altamente oculta y engañosa de este fraude es un grave riesgo para la seguridad.

Después de @0xcryptowizard, el cofundador de NextDAO @_0xSea_ también sufrió un ataque de ingeniería social. Un estafador que decía ser de la conocida empresa de medios de cifrado Decrypt le envió un mensaje privado para pedirle una entrevista con el objetivo de difundir algunas ideas. a los usuarios de habla china.

Pero con las lecciones aprendidas del pasado, @_0xSea_ notó cuidadosamente que en la página de autorización de Calendly.com enviada por la otra parte, el carácter en la oración "Autoriza a Calendlỵ para acceder a tu cuenta" es "ỵ", no la letra. "y". Esto es similar al caso de los sats falsos la última vez, el último carácter en realidad es "ʦ" en lugar de "ts". A partir de esto, se puede juzgar que se trata de una cuenta falsa.

Grupo de hackers criptográficos bien capacitado Pink Drainer

En el ataque a @0xcryptowizard, Slow Mist Cosine señaló a la banda fraudulenta Pink Drainer. Se informa que Pink Drainer es un malware como servicio (MaaS) que permite a los usuarios establecer rápidamente sitios web maliciosos y obtener activos ilegales a través del malware.

Según la empresa de seguridad blockchain Beosin, la URL de phishing utiliza una herramienta de robo de billetera criptográfica para engañar a los usuarios para que firmen la solicitud. Una vez firmada la solicitud, el atacante podrá transferir tokens NFT y ERC-20 desde la billetera de la víctima. “Pink Drainer” cobrará a los usuarios los activos robados como una tarifa, que, según se informa, puede llegar al 30% de los activos robados.

El equipo de Pink Drainer es conocido por sus ataques de alto perfil a plataformas como Twitter y Discord, que involucran incidentes como Evomos, Pika Protocol y Orbiter Finance.

El 2 de junio del año pasado, los piratas informáticos utilizaron Pink Drainer para piratear el Twitter de Mira Murati, directora de tecnología de OpenAI, y publicaron noticias falsas, afirmando que OpenAI estaba a punto de lanzar un "token OPENAI" basado en el modelo de lenguaje AI. y publicó un enlace para informar a los internautas que verifiquen si la dirección de la billetera Ethereum es elegible para recibir inversiones cortas. Para evitar que otros expongan la estafa en el área del mensaje, el pirata informático también desactivó la función de respuesta pública del mensaje.

Aunque la noticia falsa fue eliminada una hora después de ser publicada, ya ha llegado a más de 80.000 usuarios de Twitter. Según los datos presentados por Scam Sniffer, el hacker obtuvo aproximadamente 110.000 dólares en ingresos ilegales gracias a este incidente.

A finales del año pasado, Pink Drainer participó en una estafa de phishing muy sofisticada que resultó en el robo de tokens Chainlink (LINK) por valor de 4,4 millones de dólares. El robo cibernético tuvo como objetivo una única víctima que fue engañada para que firmara una transacción relacionada con la función "aumentar autorización". Pink Drainer utiliza la función "agregar autorización", un procedimiento estándar en el campo de las criptomonedas, para permitir a los usuarios establecer límites en la cantidad de tokens que se pueden transferir a otras billeteras.

Esta acción resultó en la transferencia no autorizada de 275,700 tokens LINK en dos transacciones separadas sin el conocimiento de las víctimas. Los detalles de la plataforma de seguridad criptográfica Scam Sniffer muestran que inicialmente, Etherscan transfirió 68,925 tokens LINK a una billetera denominada "PinkDrainer: Wallet 2"; los 206,775 LINK restantes se enviaron a otra billetera que terminaba en una dirección "E70e".

Aunque no está claro cómo engañaron a las víctimas para que autorizaran transferencias de tokens. Scam Sniffer también descubrió al menos 10 nuevos sitios web fraudulentos relacionados con Pink Drainer en las últimas 24 horas desde el robo.

Hoy en día, las actividades de Pink Drainer siguen en aumento. Según datos de Dune, en el momento de escribir este artículo, Pink Drainer ha defraudado más de 25 millones de dólares en total, con un total de decenas de miles de víctimas.

Las promociones oficiales de proyectos son frecuentemente robadas

No solo eso, en el último mes ha habido frecuentes incidentes de tweets oficiales del proyecto robados:

El 22 de diciembre, se sospechaba que había sido robada la cuenta oficial de la plataforma X del juego ARPG en cadena de búsqueda de tesoros oscuros "SERAPH: In the Darkness". Se recomienda a los usuarios que no hagan clic en ningún enlace publicado por esta cuenta por el momento.

El 25 de diciembre, se sospechaba que el tweet oficial del protocolo financiero descentralizado Set Protocol había sido robado y se publicaron varios tweets que contenían enlaces de phishing.

El 30 de diciembre, se sospechaba que el tweet oficial de la plataforma de préstamos DeFi Compound había sido robado y se publicó un tweet que contenía un enlace de phishing, pero no se abrió el permiso para comentar. BlockBeats recuerda a los usuarios que presten atención a la seguridad de los activos y que no hagan clic en enlaces de phishing.

Ni siquiera las empresas de seguridad son inmunes. El 5 de enero, la cuenta de Twitter de CertiK se vio comprometida. Se publicaron noticias falsas que afirmaban que se descubrió que el contrato del enrutador Uniswap era vulnerable a una vulnerabilidad de reentrada. El enlace adjunto a RevokeCash es un enlace de phishing. En respuesta al robo, CertiK declaró en su plataforma social: "Una cuenta verificada relacionada con un medio conocido se comunicó con un empleado de CertiK; sin embargo, la cuenta parece haber sido comprometida, lo que resultó en un ataque de phishing a nuestros empleados. CertiK rápidamente descubrió la vulnerabilidad y eliminó los tweets relevantes en cuestión de minutos. Las investigaciones revelaron que se trataba de un ataque sostenido y a gran escala. Según la investigación, el incidente no causó daños significativos."

El 6 de enero, según los comentarios de la comunidad, el tweet oficial de Sharky, el protocolo de préstamos ecológicos NFT de Solana, fue pirateado y se publicó un enlace de phishing. Se recomienda a los usuarios que no hagan clic en ningún enlace publicado en el tweet oficial.