El conglomerado de tecnología Cisco y la Ciberpolicía de Ucrania han revelado una suplantación de identidad de Bitcoin (BTC) ucraniana que ha robado más de $50 millones durante un período de tres años, informa el equipo de inteligencia de amenazas de Cisco, Talos.
Talos fue alertado de la amenaza de suplantación de identidad el 24 de febrero de 2017, cuando una de suplantación de identidad con base en Ucrania COINHOARDER, dirigió el servicio del monedero blockchain.info a través de anuncios de Google que contenía “enlaces de portales de suplantación de identidad” que estaban generando más de 200 000 consultas de búsqueda de clientes.
Los anuncios de Google parecen representar el verdadero monedero Bitcoin blockchain.info utilizando los nombres de dominio que se asemejan a la del monedero oficial, como blockchein.info. Los mismos sitios de suplantación de identidad también están diseñados para que coincidan con el sitio real en todos los aspectos, excepto por el nombre de dominio.
Talos informa que COINHOARDER comenzó a hacer que sus sitios de suplantación de identidad luzcan más legítimos a través del tiempo mediante el uso de certificados SSL falsos en combinación con sus “typosquatting,” “suplantación de marca”, y “ataques homógrafos.”
Talos encontró que el portal de suplantación de identidad estaba dirigido a zonas geográficas donde las monedas locales eran inestables y el inglés no es la primera lengua de la región, como Nigeria y Ghana, donde las víctimas eran más propensas a pasar desapercibidas las diferencias leves en el dominio y nombre de SSL.
La colaboración de Cisco con la Policía Cibernética de Ucrania les ayudó a identificar a los atacantes de la dirección del monedero BTC. Talos escribe que solo fueron robados "alrededor de $10 millones" mientras realizaban un seguimiento de la actividad del monedero desde de septiembre hasta diciembre de 2017.
Tras el descubrimiento de este esquema de suplantación de identidad a gran escala, Cisco ha empezado a marcar los dominios asociados como sospechosas, y utilizó las peticiones DNS para encontrar y bloquear otros dominios abiertos por el mismo registrante del sitio inicial.
Talos concluye su informe con la lista de las direcciones IP asociadas con las estafas de suplantación de identidad, así como medios para los clientes de Cisco para protegerse contra amenazas similares.
La suplantación de identidades cripto recientemente se han hecho mucho más frecuentes en Twitter, con usuarios creando cuentas falsas que imitan élites de cripto, como Charlie Lee o Vitalik Buterin, y luego promoviendo criptoregalos falsos.