Phishing de Metamask intenta robar el acceso a la cartera de criptomonedas de sus víctimas

Cuando analizamos casos de phishing estamos acostumbrados a lidiar con suplantaciones de identidad relacionadas con entidades bancarias, agencias de transporte, redes sociales o incluso puede que los delincuentes se hagan pasar por la empresa donde trabaja la víctima para convencerle de que debe introducir sus credenciales en una web preparada para tal efecto. Sin embargo, la popularidad de las criptomonedas desde hace unos años también ha hecho que veamos varios casos de phishing dirigidos a poseedores de estos criptoactivos, como el que vamos a revisar a continuación.

Un correo de Metamask

Tal y como sucede con el phishing habitual, los delincuentes tratan de llamar la atención de los usuarios preparando un email que incite a una reacción rápida y poco meditada. En el ejemplo que analizamos hoy vemos como se hace referencia a la necesidad de verificar nuestra identidad en Metamask.

Para quien no la conozca, Metamask es una cartera de criptomonedas basada en software que es usada por millones de usuarios de todo el mundo para interactuar con la cadena de bloques de Ethereum. De esta forma, los usuarios pueden acceder a su cartera de Ethereum a través de una extensión en el navegador o una aplicación móvil, lo que facilita la interacción con otras aplicaciones descentralizadas.

Que el correo recibido esté en inglés podría hacernos sospechar algo, pero muchos usuarios poseedores de criptomonedas están habituados a trabajar con exchanges y otras plataformas en este idioma, por lo que es probable que no noten nada extraño. Además, el remitente parece venir de una dirección de correo oficial, ya que los delincuentes se han preocupado de que aparezca el dominio oficial.

Si se pulsa el enlace proporcionado para realizar la supuesta verificación, el usuario será redirigido a una web que simula pertenecer a Metamask y donde se le requiere comenzar el proceso de verificación.

Sin embargo, antes de pulsar sobre cualquier enlace, deberíamos revisar la web para ver si estamos en la que dice ser. Si nos fijamos en la propia URL veremos que el navegador ya nos indica el dominio real al que estamos accediendo, por mucho que los delincuentes intenten hacernos creer que estamos en la web de Metamask. Además, si nos fijamos en el certificado de la web, veremos que ha sido emitido recientemente de forma gratuita por Let’s Encrypt, un indicador más de que podríamos estar ante una web fraudulenta.

Algunos usuarios se siguen sorprendiendo a día de hoy de ver como las webs maliciosas cuentan con protocolo HTTPS y el conocido candado de seguridad. No obstante, este candado solo comprueba que las comunicaciones entre nuestro dispositivo y la web se realizan de forma cifrada, no que la web sea segura o legítima.

Robo de frases de recuperación

En los casos de phishing habituales se suele pedir a los usuarios que introduzcan credenciales compuestas por nombre de usuario y contraseña, añadiendo también los códigos de verificación de un solo uso en los casos de phishing bancario. Sin embargo, en los servicios como Metamask se suele recurrir a un sistema basado en frases largas para recuperar la clave privada que permite el acceso a la cartera de criptomonedas, y ese es el motivo de que los delincuentes la soliciten.

Llegados a este punto, dependerá de la concienciación del usuario y de si se ha fijado en los detalles que delatan estar ante un caso de suplantación de identidad introducir o no esta frase de recuperación. Por parte de los delincuentes, estos solo indicarán que se ha verificado correctamente la identidad para hacer ver a la víctima que todo está en orden.

Lamentablemente, y a pesar de que estamos ante un caso clásico de phishing, es probable que más de un usuario de Metamask caiga en la trampa y termine introduciendo su frase de recuperación, otorgando a los delincuentes el acceso a su cartera de criptomonedas, que será irremediablemente vaciada.

Conclusión

Tal y como acabamos de ver, los casos de phishing  poco sofisticado también pueden tener éxito entre usuarios de criptomonedas, por lo que conviene estar atento a los detalles cuando recibamos un correo de este tipo y contar con una solución de seguridad que pueda clasificarlos como potencialmente peligrosos o spam antes de que lleguen a nuestra bandeja de entrada.

Josep Albors

Phishing del Santander y BBVA usados para robar credenciales de banca online e información personal