Check Point Research divulgou a poucos minutos que golpistas conseguiram roubar mais de US$ 500 mil em criptomoedas utilizando os anúncios do Google, o Google Ads. Ainda segundo a empresa, a prática foi identificada no último final de semana, ou seja, nos dias 30 e 31 de outubro.
Como funciona o golpe do roubo das carteiras criptográficas?
Primeiro é importante dizer que são muitos os golpistas, e não apenas uma pessoa ou grupo. Mas, o fato é que muitas pessoas que tinham suas carteiras recheadas de criptomoedas perderam tudo. Os cibercriminosos inseriram anúncios de grandes marcas, usando o Google Ads, no topo da área do buscador Google.
Mas, estes anúncios eram falsos, e claro, uma cópia muito bem feita a ponto de enganar qualquer pessoa. Dentre as marcas que tiveram seus anúncios copiados, podemos citar como Phantom App, MetaMask e Pancake Swap, para enganar os usuários e fazer com que eles informassem a senha e a chave privada de sua carteira.
Além disso, o segredo morava no clique. Após a vítima realizar o clique no anúncio falso do Google Ads, uma página também identifica a marca clonada seria exibida. Desta forma, já havia um site de phishing a esperava da vítima, e como dito antes, também muito bem elaborado.
Corriqueiramente, e também é como ocorre, os ataques de phishing ocorrem em sua maioria por e-mail, mas desta vez parece que uma nova técnica foi usada e com êxito.
Como funciona esse golpe que rouba carteiras inteiras de criptomoedas roubadas?
• O cibercriminoso coloca um anúncio no Google para aparecer em primeiro lugar em uma consulta de pesquisa relacionada a uma carteira de criptomoeda.
• A vítima clica no link malicioso no anúncio do Google.
• O usuário é redirecionado para uma página da web de spoofing (tipo de ataque no qual o cibercriminoso finge ser uma pessoa ou marca conhecida para acessar informações sigilosas e obter ganhos financeiros) que parece idêntica à página da web da carteira original.
• O site falso tenta roubar a senha do usuário se ele já tiver uma carteira, ou fornece uma nova senha para sua carteira recém-criada.
• Em ambos os casos, o cibercriminoso obtém acesso à carteira do usuário e pode continuar roubando todas as suas criptomoedas.
E como são os golpes?
Para o domínio “phantom. app”, a divisão CPR encontrou variantes de phishing como “phanton . app” ou “phantonn . app”, ou mesmo extensões diferentes como ” .pw” e outras mais.
Figura 1. Anúncio de phishing da carteira fantasma:
Figura 2. Anúncio malicioso do Google imitando a MetaMask:
Conforme descrito acima, cada anúncio malicioso leva a um site de phishing.
Figura 3. Site fraudulento do Phantom similar ao site original do Phantom:
Site falso da Phantom
Site Original:
O que diz a Checkpoint?
A CPR encontrou 11 contas de carteiras comprometidas, cada uma delas contendo entre US$ 1 mil e US$ 10 mil. Os pesquisadores da CPR notaram que os cibercriminosos removeram alguns dos fundos antes de serem descobertos. Ao fazer referência cruzada aos fóruns do Reddit, em que as vítimas expressaram os casos de roubo, a CPR estima que mais de US$ 500 mil foram roubados no último fim de semana.
“Em questão de dias, testemunhamos o roubo de centenas de milhares de dólares em criptomoedas. Acredito que estamos no advento de uma nova tendência de cibercrimes, em que os golpistas usam a pesquisa do Google como o principal vetor de ataque para alcançar carteiras digitais, em vez de adotarem o tradicional phishing por e-mail”, informa Oded Vanunu, head de pesquisa de vulnerabilidades de produtos da Check Point Software.
“Em nossa observação, cada anúncio teve uma cuidadosa seleção de mensagens e palavras-chave, a fim de se destacar nos resultados da pesquisa. Os sites de phishing para os quais as vítimas eram direcionadas refletiam a cópia e imitação meticulosa das mensagens da marca da carteira. E o que é mais alarmante é que vários grupos de cibercriminosos estão dando lances para palavras-chave no Google Ads, o que provavelmente é um sinal do sucesso dessas novas campanhas de phishing voltadas para roubar carteiras de criptomoedas”, explica Vanunu.
“Avaliamos que isso se tornará uma tendência de crescimento rápido no crime cibernético e, por isso, recomendamos à comunidade de criptomoedas que verifique as URLs em que acessam e evite clicar em anúncios do Google relacionados com carteiras digitais neste momento”, alerta Vanunu.
Quais as dicas para não cair neste golpe?
• Examinar a URL do navegador: apenas a extensão deve criar a senha longa e, para entender se esta é uma extensão ou um site, sempre verificar a URL do navegador.
• Procurar o ícone da extensão. A extensão conterá um ícone próximo a ela e uma URL de extensão do Chrome:
• Nunca fornecer sua senha longa. Os usuários nunca devem divulgar sua senha; ninguém deve pedir isso. Ela será usada novamente apenas ao instalar uma nova carteira.
• Pular os anúncios: se o usuário estiver procurando por criptomoedas ou carteiras, sempre deverá olhar para o primeiro site em sua pesquisa e não para os anúncios, pois eles podem ser enganados por cibercriminosos.
• Verificar a URL. Por último, mas não menos importante, verificar sempre as URLs!