A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point® Software Technologies Ltd, fornecedora de soluções de cibersegurança, alerta sobre cibercriminosos que usam o Google Ads para roubar carteiras criptográficas, após ter detectado no último final de semana (30 e 31 de outubro de 2021) o roubo de centenas de milhares de dólares em criptomoedas por diferentes golpistas.
- Siga o tecflow no Google News!
- Participe do nosso grupo no Telegram ou Whatsapp2!
- Confira nossos stories no Instagram e veja notícias como essa!
- Siga o tecflow no Google Podcast e Spotify Podcast para ouvir nosso conteúdo!
- Anuncie conosco aqui.
Para atrair as vítimas, os cibercriminosos colocaram anúncios no topo da área de pesquisa do Google que imitavam marcas populares de carteiras digitais, como Phantom App, MetaMask e Pancake Swap, para enganar os usuários e fazer com que eles informassem a senha e a chave privada de sua carteira.
Cada anúncio continha um link malicioso que, uma vez clicado, direcionava a vítima a um site de phishing que copiava a marca e a mensagem do site de carteira original. A partir daí, os cibercriminosos enganaram suas vítimas para que informassem as senhas de suas carteiras, preparando o terreno para o roubo dessas carteiras.
Tradicionalmente, as campanhas de phishing se originam no e-mail. No que parece ser uma nova tendência, vários grupos que praticam tais golpes estão agora fazendo lances por palavras-chave relacionadas a carteiras no Google Ads, usando a pesquisa desse buscador como um vetor de ataque para atingir as carteiras digitais das vítimas.
Como funciona o golpe
• O cibercriminoso coloca um anúncio no Google para aparecer em primeiro lugar em uma consulta de pesquisa relacionada a uma carteira de criptomoeda.
• A vítima clica no link malicioso no anúncio do Google.
• O usuário é redirecionado para uma página da web de spoofing (tipo de ataque no qual o cibercriminoso finge ser uma pessoa ou marca conhecida para acessar informações sigilosas e obter ganhos financeiros) que parece idêntica à página da web da carteira original.
• O site falso tenta roubar a senha do usuário se ele já tiver uma carteira, ou fornece uma nova senha para sua carteira recém-criada.
• Em ambos os casos, o cibercriminoso obtém acesso à carteira do usuário e pode continuar roubando todas as suas criptomoedas.
Como são os golpes?
Para o domínio “phantom . app”, a divisão CPR encontrou variantes de phishing como “phanton . app” ou “phantonn . app”, ou mesmo extensões diferentes como ” .pw” e outras mais.
Figura 1. Anúncio de phishing da carteira fantasma
Figura 2. Anúncio malicioso do Google imitando a MetaMask.
Conforme descrito acima, cada anúncio malicioso leva a um site de phishing.
Figura 3. Site fraudulento do Phantom similar ao site original do Phantom:
Falso:
Original:
Vítimas Observadas
A CPR encontrou 11 contas de carteiras comprometidas, cada uma delas contendo entre US$ 1 mil e US$ 10 mil. Os pesquisadores da CPR notaram que os cibercriminosos removeram alguns dos fundos antes de serem descobertos. Ao fazer referência cruzada aos fóruns do Reddit, em que as vítimas expressaram os casos de roubo, a CPR estima que mais de US$ 500 mil foram roubados no último fim de semana.
“Avaliamos que isso se tornará uma tendência de crescimento rápido no crime cibernético e, por isso, recomendamos à comunidade de criptomoedas que verifique as URLs em que acessam e evite clicar em anúncios do Google relacionados com carteiras digitais neste momento”, alerta Vanunu.
Dicas de segurança
• Examinar a URL do navegador: apenas a extensão deve criar a senha longa e, para entender se esta é uma extensão ou um site, sempre verificar a URL do navegador.
• Procurar o ícone da extensão. A extensão conterá um ícone próximo a ela e uma URL de extensão do Chrome:
• Nunca fornecer sua senha longa. Os usuários nunca devem divulgar sua senha; ninguém deve pedir isso. Ela será usada novamente apenas ao instalar uma nova carteira.
• Pular os anúncios: se o usuário estiver procurando por criptomoedas ou carteiras, sempre deverá olhar para o primeiro site em sua pesquisa e não para os anúncios, pois eles podem ser enganados por cibercriminosos.
• Verificar a URL. Por último, mas não menos importante, verificar sempre as URLs!
Assistia ao vídeo sobre esse golpe
Faça como os mais de 4.000 leitores do tecflow, clique no sino azul e tenha nossas notícias em primeira mão!
