Los estafadores están utilizando varias formas de técnicas de ingeniería social para robar frases de semillas y hacer que la gente pierda sus activos digitales.
La estafa de la frase semilla implica diferentes técnicas utilizadas para hacer que los objetivos expongan su frase semilla y comprometan el monedero que contiene sus activos digitales.
La estafa de la frase inicial más común es el phishing, en el que el atacante crea una sensación de urgencia, pidiendo al objetivo que envíe una frase inicial en un sitio web de phishing o a través de un formulario.
Las frases semilla son la llave maestra de una criptocartera, y exponerlas pone al titular en riesgo de perder sus fondos, que no son reversibles.
Algunas de las medidas para orientar contra la estafa de la frase semilla incluyen: mantener la frase semilla en un lugar seguro, dividirla en trozos y almacenar cada segmento en lugares diferentes, cifrarla cuando se tenga en línea, y abstenerse de buscar apoyo excepto dentro de la aplicación en la que se necesita la ayuda.
Hay que tomar medidas para no extraviar la frase semilla en el intento de protegerla, ya que eso conllevará la pérdida de acceso al monedero y a los fondos que contiene.
El criptoespacio es un agua agitada con olas que exigen precaución y cuidado. Es un reino en el que se da un enorme poder a los individuos para que se hagan cargo de sus finanzas, incluida la custodia de fondos sin depender de un banco o una institución. A quien mucho se le da, mucho se espera. La cámara acorazada que guarda los criptofondos, conocida como cartera, tiene una clave maestra que permite acceder a ella y que puede utilizarse para su recuperación. Esta clave maestra se denomina frase semilla. Las estafas dirigidas a las frases semilla han aumentado en los últimos tiempos. La frase semilla son 12-24 palabras generadas algorítmicamente que se proporcionan al configurar un monedero como mecanismo de respaldo. Al transferir un monedero de un dispositivo a otro o tras la pérdida del mismo, la frase semilla será necesaria para recuperar el monedero, y una sola semilla puede servir para recuperar toda una cartera de tokens y monedas. Por lo tanto, para que los estafadores hagan diana, han ideado diferentes técnicas dirigidas a hacer que la gente divulgue su frase semilla.
Técnicas de estafa con frases de semillas
Un poeta clásico dijo una vez: "Conozco el mal no para hacerlo, sino para no caer en el mal". Una forma de guiarse contra las estafas de frases de semillas es entender las diferentes técnicas utilizadas por los estafadores para obtener frases de semillas de las personas. El pasado mes de mayo, el popular monedero de criptomonedas Metamask dio la voz de alarma sobre un bot utilizado para robar frases semilla en Twitter. El esquema fraudulento tenía la forma de una solicitud de una cuenta que parecía genuina. El comunicado sugería rellenar un formulario de soporte y solicitar una frase secreta de recuperación. Esta es una de las diferentes formas en las que los estafadores intentan acceder y vaciar los monederos de la gente consiguiendo su frase semilla.
Las técnicas de estafa que se utilizan popularmente para robar frases de semillas incluyen:
Fuente: blog.malwarebytes.com
1. Phishing: El phishing no es un concepto nuevo cuando se habla de seguridad en el ciberespacio. Encabeza la lista de las formas en que los estafadores atraen a las personas para que proporcionen sus frases clave haciéndolas entrar en un sitio web dudoso. Consiste en engañar a la gente para que divulgue su contraseña o sus datos de identificación personal, creando al mismo tiempo una sensación de urgencia, en este caso, su frase semilla, para tener acceso a su cartera. Algunas estafas de phishing se presentan en forma de anuncios emergentes que enlazan con un sitio web de phishing o una extensión del navegador que imita monederos populares como Exodus y Metamask. En un ataque de estafa de phishing, Domenic Iacovone perdió activos por valor de 65.000 dólares. Un estafador que se disfrazó de agente del servicio de atención al cliente de Apple llamó al objetivo diciéndole que su cuenta de Apple había sido comprometida y que le enviaría un código al teléfono para comprobar que la víctima era el propietario de la cuenta. Después de conseguir el acceso al teléfono con este truco, el hacker fue más allá para acceder a la frase semilla a través de la copia de seguridad de iCloud y vació el monedero en cuestión de segundos.
Un ataque típico de phishing que también utilizan los estafadores es el spear phishing. En este caso, el atacante utiliza un correo electrónico o un mensaje personalizado para dirigirse a las personas fingiendo ser de remitentes de confianza, como los proveedores de monederos de hardware, e instándoles a actualizar sus frases semilla. Quien sea víctima de este truco verá comprometida su cartera.
2. Baiting: El "baiting" es otra técnica de estafa a través de la cual los atacantes roban frases semilla. En este caso, el estafador induce a la gente a dar sus credenciales de acceso prometiéndoles bienes o artículos como lanzamientos aéreos, regalos o coleccionables digitales. Algunos también piden a su objetivo que introduzca una determinada frase semilla en su cartera para cebarlo y tener acceso a su fondo. La distribución de recompensas es un incentivo común para crear comunidades de criptomonedas. Los estafadores a menudo se esconden bajo el pretexto de distribuir recompensas como parte del lanzamiento de su proyecto para cebar a la gente a dar sus frases semilla, comprometiendo así sus carteras. Muchas personas ven los airdrops y otros regalos como oportunidades para adquirir algunos activos digitales y pueden no tener cuidado de verificar la autenticidad de todo el esquema.
Una de las estafas más comunes es la de algunos elementos sin escrúpulos que revelan sus frases de semillas en línea fingiendo que es algo accidental. Algunas personas desprevenidas serán engañadas para que introduzcan las frases iniciales en sus carteras y se lleven los fondos. Esto permitirá al estafador acceder al monedero, lo que provocará el vaciado de todos los fondos del monedero, tanto el que había antes como el fondo con el que se ha engañado al titular del monedero.
3. Quid pro quo: El quid pro quo es muy parecido al baiting. El quid pro quo se basa en la promesa de prestar un servicio que el objetivo puede necesitar a cambio de información de acceso. El beneficio prometido en el quid pro quo suele ser en forma de servicio, como la actualización de un sistema, mientras que en el baiting, es principalmente en forma de bien. El caso de Dominic Iacovone entra dentro del quid pro quo como subconjunto de un ataque de phishing.
Cómo orientarse contra la estafa de las frases de semillas
Los monederos se almacenan en línea, lo que se conoce como monedero caliente, o fuera de línea en hardware físico, lo que se conoce como monedero frío. Los monederos calientes son más susceptibles de ser pirateados. Sea cual sea el caso, hay que tomar medidas preventivas para guiarse contra la estafa de las frases de semillas. A diferencia del sistema financiero tradicional, las transacciones en el criptoespacio son impulsadas por el blockchain y no son reversibles. Una vez que una persona tiene acceso a su cartera y la vacía, no habrá manera de revertir la transacción, lo que hace que estas medidas sean muy importantes.
Almacena tu frase semilla en un lugar seguro, preferiblemente escribiéndola en algún sitio. Si debes almacenarla en línea, guarda una versión encriptada de la misma.
Cuando guardes tu frase semilla, adopta el método de sharding, que consiste en dividir tu frase semilla en segmentos y almacenarlos en diferentes lugares.
Evita introducir una frase semilla extraña en tu monedero, ya que puede ser un cebo de los estafadores.
Evita buscar ayuda al azar en las aplicaciones o en las redes sociales, y si tienes que buscar ayuda, hazlo sólo desde la aplicación en la que quieres ayuda.
La frase inicial sólo se requiere en algunas ocasiones; por lo tanto, nunca introduzca su frase inicial en ningún formulario en línea por cualquier promesa.
Si utilizas un dispositivo que escribe automáticamente la frase de siembra en una copia de seguridad en la nube, como Apple, puedes ir a la configuración de Gestión de almacenamiento y desactivar la capacidad de copia de seguridad.
Averigua siempre la legitimidad de un remitente y ten cuidado cuando te presionen para que realices una acción urgente que implique que des tu frase semilla.
Active la verificación de 2 factores y evite las redes wi-fi abiertas, especialmente cuando interactúe con su cartera.
Las organizaciones deberían dar una formación adecuada a los empleados para aumentar la concienciación y la denuncia.
Cuando se trate de sitios web, compruebe la URL para asegurarse de que el certificado del sitio web es de confianza y siga las advertencias que indican que su conexión a un sitio es insegura.
El coste de un poco de descuido con una frase de semillas es enorme, y uno sólo puede imaginarlo si su cartera tiene un fondo considerable. Para la seguridad de sus activos, usted puede mantener sólo algunas fracciones en su cartera caliente en línea, mientras que mantiene la proporción más significativa en su cartera fría fuera de línea. En cualquier caso, nunca está de más tener una precaución extra con su frase de semillas.
Autor: Gate.io Observador:
M. Olatunji. Traductor:
Jose E.
Descargo de responsabilidad:
*Este artículo representa únicamente las opiniones de los observadores y no constituye ninguna sugerencia de inversión.
*Gate.io se reserva todos los derechos sobre este artículo. Se permitirá la reproducción del artículo siempre que se haga referencia a Gate.io. En todos los demás casos, se emprenderán acciones legales por infracción de los derechos de autor.