Una nueva y sofisticada campaña de phishing está atacando las cuentas de X de personalidades del mundo de las criptomonedas, utilizando tácticas que eluden la autenticación de dos factores y parecen más creíbles que las estafas tradicionales.
Según una publicación del miércoles en X del desarrollador de criptomonedas Zak Cole, una nueva campaña de phishing aprovecha la propia infraestructura de X para hacerse con el control de las cuentas de personalidades del mundo de las criptomonedas. "Detección cero. Activo en este momento. Control total de la cuenta", afirmó.
Cole destacó que el ataque no implica una página de inicio de sesión falsa ni el robo de contraseñas. En su lugar, aprovecha el soporte de la aplicación X para obtener acceso a la cuenta, al tiempo que elude la autenticación de dos factores.
El investigador de seguridad de MetaMask, Ohm Shah, confirmó haber visto el ataque "en acción", lo que sugiere una campaña más amplia, y una modelo de OnlyFans también fue blanco de una versión menos sofisticada del ataque.
Creación de un mensaje de phishing creíble
Google Calendar, gracias a la forma en que la plataforma de redes sociales genera sus vistas previas. En el caso de Cole, el mensaje fingía provenir de un representante de la empresa de capital de riesgo Andreessen Horowitz.
El dominio al que enlaza el mensaje es "x(.)ca-lendar(.)com" y se registró el sábado. Aun así, X muestra el legítimo calendar.google.com en la vista previa gracias a los metadatos del sitio, que aprovechan la forma en que X genera las vistas previas a partir de sus metadatos.
“Tu cerebro ve Google Calendar. La URL es diferente.“
Al hacer clic, el JavaScript de la página redirige a un punto final de autenticación de X que solicita autorización para que una aplicación acceda a tu cuenta de redes sociales. La aplicación parece ser "Calendar", pero el examen técnico del texto revela que el nombre de la aplicación contiene dos caracteres cirílicos que parecen una "a" y una "e", lo que la convierte en una aplicación distinta en comparación con la aplicación "Calendar" real del sistema de X.
La pista que revela el ataque
Hasta ahora, la señal más evidente de que el enlace no era legítimo puede haber sido la URL que apareció brevemente antes de que el usuario fuera redirigido. Probablemente apareció solo durante una fracción de segundo y es fácil pasarla por alto.
Sin embargo, en la página de autenticación de X encontramos la primera pista de que se trata de un ataque de phishing. La aplicación solicita una larga lista de permisos de control de la cuenta, entre los que se incluyen seguir y dejar de seguir cuentas, actualizar perfiles y ajustes de la cuenta, crear y eliminar publicaciones, interactuar con publicaciones de otros usuarios y mucho más.
Esos permisos parecen innecesarios para una aplicación de calendario y pueden ser la pista que salve a un usuario cuidadoso del ataque. Si se concede el permiso, los atacantes obtienen acceso a la cuenta, ya que los usuarios reciben otra pista con un redireccionamiento a calendly.com a pesar de la vista previa de Google Calendar.
"¿Calendly? ¿Falsificaron Google Calendar, pero redirigieron a Calendly? Un fallo importante de seguridad operativa. Esta inconsistencia podría alertar a las víctimas", destacó Cole.
Según el informe de Cole en GitHub sobre el ataque, para comprobar si los perfiles se han visto comprometidos y expulsar a los atacantes de la cuenta, se recomienda visitar la página de aplicaciones conectadas a X. A continuación, sugiere revocar cualquier aplicación llamada "Calendar".
Aclaración: La información y/u opiniones emitidas en este artículo no representan necesariamente los puntos de vista o la línea editorial de Cointelegraph. La información aquí expuesta no debe ser tomada como consejo financiero o recomendación de inversión. Toda inversión y movimiento comercial implican riesgos y es responsabilidad de cada persona hacer su debida investigación antes de tomar una decisión de inversión.