La maniobra fraudulenta permitía cambiar la URL para difundir estafas relacionadas con criptomonedas y lograr vaciar las criptocarteras de los afectados
22.12.2023 • 16:30hs • Ciberseguridad
Ciberseguridad
Una campaña de criptoestafas aprovechó la plataforma X para compartir URLs fraudulentas
Una campaña detectada en la plataforma X (ex Twitter) utiliza una característica legítima de dicha plataforma para alterar la URL de una publicación con el propósito de promover servicios dirigidos a vaciar las criptocarteras de aquellos afectados.
La plataforma X permite modificar el nombre de la cuenta en la URL de una publicación, un mecanismo que no afecta el destino al que se dirige, pero que fomenta la suplantación de identidad en los enlaces visualizados por otros usuarios.
Ciberseguridad: se detectó un mecanismo para compartir url fraudulentas en una campaña de criptoestafas
De esta manera, si el enlace genuino de una publicación de Portaltic en X tiene, por ejemplo, esta URL: https://twitter.com/Portaltic/status/1737500817853145552, se puede cambiar el nombre de la cuenta para que parezca que pertenece a otro sitio.
Esto ocurre porque el mecanismo que conduce al usuario hacia el destino de un enlace se basa en el número de identificación de la publicación, no en el conjunto completo de la URL, según explicó Bleeping Computer.
También alertaron sobre el uso fraudulento de este mecanismo para difundir estafas relacionadas con criptomonedas.
En particular, los investigadores de MalwareHunterTeam indicaron que, en las últimas dos semanas, observaron un aumento en las publicaciones con URL fraudulentas en la red social.
Se detecó una campaña fraudulenta en X para difundir estafas con criptomonedas
En estas publicaciones, se modificó el nombre de usuario para que parezcan estar vinculadas a servicios legítimos de criptomonedas, como Binance, la Ethereum Foundation o zkSync.
El propósito era dirigir a las víctimas hacia publicaciones que promocionaban servicios destinados a vaciar sus criptocarteras.
Si bien se indicó que es bastante sencillo identificar la trampa al abrir la URL en una computadora, esta verificación resulta menos evidente en dispositivos móviles, ya que la aplicación no presenta la barra de direcciones.
Criptomonedas: 8 tips para evitar una "criptoestafa"
Para protegerse y evitar caer en una estafa cripto, es esencial tener en cuenta una serie de pautas y prácticas de seguridad las cuales son simples y están al acceso de todo el mundo.
Para evitar las estafas cripto es es crucial evitar las redes WIFi públicas.
A continuación, se presentan 8 medidas importantes a seguir para evitar caer en una "criptoestafa":
- Revisar el Whitepaper: Antes de invertir en una criptomoneda o de invertir tus criptomonedas en un esquema de inversión, asegúrate de que el proyecto tenga un whitepaper claro y detallado que explique su tecnología, objetivos y plan de desarrollo. La falta de un whitepaper o uno dudoso podría ser una señal de alerta. Chequear los "tokenomics" y políticas de emisión. Investiga y evalúa la razonabilidad de todo lo que se proponga y prometa el whitepaper. Ten en cuenta que un whitepaper puede también ser un instrumento de promoción de una estafa. Alertas más frecuentes: "si es demasiado bueno para ser cierto, probablemente no sea cierto"; que te regalen tokens por no hacer nada; que te insistan constantemente a sumar a personas de tu confianza; revisar casos de uso. En caso que se trate de proyectos que prometan rentabilidad, asegurarse de leer los términos y condiciones en lo respectivo al pago de las ganancias y devolución del capital invertido, como así la empresa o persona responsable del proyecto. Asimismo, conocer y entender los mecanismos de generación de ganancias. De esta forma se podrá advertir, con cierto grado de certeza, si nos encontramos frente a un esquema piramidal. Resulta una buena práctica comparar el sistema de que se trate con otros similares para chequear que los retornos prometidos no sean desmedidos, ya que, esto último, constituye una práctica frecuente en este tipo de sistemas fraudulentos.
- Verificar el código fuente de protocolos y wallets: Examina el repositorio público de código fuente de la criptomoneda en plataformas como GitHub. La falta de código o forks actualizados, la inexistencia de código abierto puede ser un indicio de que el proyecto no es transparente o confiable. Si no sabes de programación, apoyate en alguien que sí; sino lo mejor es no invertir en proyectos no tengan cierta trayectoria.
- Investigar los smart contracts: Si una criptomoneda se basa en smart contracts, verifica que el equipo de desarrollo esté debidamente identificado como autores de dichos contratos. La falta de autorías claras puede indicar falta de transparencia y aumentar el riesgo de estafa. Cada protocolo que queda con acceso a tus billeteras es una potencial vulnerabilidad por hackeo o mala intención del desarrollador del contrato.
- Conocer a los desarrolladores: Investiga sobre el equipo de desarrollo detrás de los proyectos. Desconfía de proyectos liderados por desarrolladores anónimos o desconocidos. Trata de identificar los responsables detrás de los proyectos; si mencionan sociedades, chequea que existan. Sin embargo, no te fíes de famosos que promocionan propuestas maravillosas. Es posible que sean perfiles falsos, o que hayan cobrado para hacer publicidad de algo que no conocen.
- Verificar que no se este ingresando a un sitio web phishing: Investigar que no se esté ingresando en un sitio web falso o malicioso. Asimismo cuando se interactua con redes sociales del proyecto será fundamental verficar que no se este interactuando por un perfil falso por lo que se deber verficar la autenticidad de los perfiles.
- No brindar la seed en ningún sitio de internet. Asimismo ninguna wallet non custodial la solicitará si no es en el proceso de restauración de la misma, en la aplicación propia de la wallet. Es importante no cometer este error ya que puedes estar siendo víctima de phising.
- Desconfiar de personas desconocidas que espontáneamente te contactan por mensaje privado a través de redes sociales, ofreciendo inversiones o promocionando plataformas. Bloquear y reportar toda cuenta sospechosa.
- Cuando no se comprende cabalmente de dónde vienen las ganancias ni qué las genera, lo más probable es que provengan del usuario incauto. Evitar confiar en propuestas de grandes y rápidos retornos.