Las estafas de phishing no son nuevas en el espacio digital, y los ciberdelincuentes las emplean cada vez más en el espacio criptográfico. Por ejemplo, varios informes del viernes revelaron que los estafadores se dirigieron a los usuarios de las plataformas de seguimiento de datos criptográficos CoinGecko y Etherscan.
El viernes, CoinGecko y Etherscan advirtieron a los usuarios sobre posibles ataques de phishing en sus plataformas. En consecuencia, ambas partes advirtieron a los usuarios que no conectaran su billetera Metamask a cualquier ventana emergente en su sitio web. En particular, las capturas de pantalla compartidas revelaron que los estafadores intentaban engañar a los usuarios con un obsequio NFT falso de Bored Ape Yacht Club (BAYC). Etherscan tuiteó:
“Hemos recibido informes de ventanas emergentes de phishing a través de una integración de terceros y actualmente estamos investigando. Tenga cuidado de no confirmar ninguna transacción que aparezca en el sitio web”, y agregó: “Interino, hemos tomado medidas inmediatas para deshabilitar dicha integración de terceros en Etherscan”.
Como informó por primera vez el usuario de Twitter @Noedel19 y luego confirmado por Etherscan y Coinzilla, la fuente del exploit podría rastrearse hasta Coinzilla Ads, una red de anuncios criptográficos integrada por muchos sitios criptográficos. Al confirmar el exploit, Coinzilla agradeció a los usuarios por su respuesta y les aseguró que su equipo se había ocupado del compromiso.
Coinzilla informó que la ventana emergente se originó a partir de un solo anuncio que contenía un código malicioso que logró pasar sus controles de seguridad. Además, la red publicitaria notó que la campaña duró menos de una hora antes de que su equipo tomara el control de la situación. Coinzilla tuiteó:
“Una sola campaña que contenía un código malicioso logró pasar nuestros controles de seguridad automatizados”, y agregó: “Se ejecutó durante menos de una hora antes de que nuestro equipo la detuviera y bloqueara la cuenta”.
Coinzilla toma medidas para mejorar la seguridad a raíz del compromiso
Como parte de su respuesta al ataque, la red de anuncios criptográficos reveló que reforzarían sus disposiciones de seguridad debido al ataque. Coinzilla reveló que además de las mejoras técnicas, "revisará y recreará manualmente todas las creatividades utilizadas por nuestros clientes" para garantizar que ningún estafador incorpore código malicioso en scripts de terceros.
Además, la red publicitaria dice que trabajará con todos los sitios afectados debido a la explotación para apoyar a cualquier usuario que pueda haber perdido activos digitales debido a la explotación y al mismo tiempo se compromete a descubrir a los culpables. La última estafa de phishing representa el último esfuerzo de los estafadores para beneficiarse de la exageración en torno al ecosistema BAYC.
Como se informó anteriormente por ZyCrypto, Las estafas de phishing de BAYC se han vuelto populares desde el lanzamiento de ApeCoin. En particular, hace poco más de dos semanas, BAYC informó que los estafadores habían secuestrado su cuenta de Instagram. Si bien no ha habido informes confirmados de usuarios que hayan perdido sus activos digitales debido a este último exploit, fuentes no confirmadas dicen que se perdieron más de 100 NFT en el hackeo de Instagram.
Fuente: https://zycrypto.com/phishing-scams-target-users-of-crypto-data-tracking-websites-with-malicious-ad/