-
Piratas informáticos hackean cuentas verificadas para dar más credibilidad a un esquema de fraude
-
Las medidas tomadas por Twitter hasta el momento no han contrarrestado las estafas
Las estafas con criptomonedas en siguen cobrando víctimas en Twitter. El pasado lunes 5 de noviembre, dos cuentas verificadas de Twitter fueron objeto de un ataque malicioso con el fin de estafar a usuarios con una oferta engañosa de criptomonedas. Pero además, los hackers introdujeron nuevos mecanismos para hacer el fraude más creíble.
Una cuenta hackeada para intentar un fraude con criptomonedas normalmente es usada como apoyo de una oferta engañosa: el usuario incauto debe enviar una pequeña cantidad de bitcoins o ethers a una cierta dirección para recibir a cambio 10 o 20 veces más. Para hacer creíble la oferta, los hackers se hacen pasar por un personaje conocido y exitoso, como Vitalik Buterin, cofundador de Ethereum o Elon Musk, conocido inversionista y cofundador de paypal.
En esta oportunidad, fue hackeada la cuenta de la productora Pathé UK, que se usó para pesonificar a Musk –fraude convencional–, y la cuenta hackeada de la Autoridad de Manejo de Desastres Naturales de India NDMA se empleó para interactuar con la primera en un intento de hacerla parecer más confiable. Por ejemplo, los piratas informáticos tuitearon desde la cuenta de NDMA “Envié 0.30 BTC y obtuve 6 BTC de vuelta” como respuesta a una publicación de la cuenta hackeada de Pathé UK. Además añadieron “Elon, eres la mejor persona que he conocido en mi vida”, como si respondieran al empresario.
Posteriormente Pathé UK, luego de recuperar el control de su cuenta, hizo público el hackeo y calificó los mensajes publicados por los atacantes como “no autorizados” ya que el perfil de la productora londinense había sido transformado para usurpar la identidad de Musk, quien ha visto su identidad vulnerada en múltiples ocasiones por este tipo de atacantes.
The Pathe UK Twitter account was hacked this morning by an unknown third party. A series of unauthorised tweets were sent for which we apologise. The issue has now been resolved and we have taken back control of our account.
— Pathé UK (@patheuk) 5 de noviembre de 2018
Ambos hackeos demuestran dos de las técnicas utilizadas en estos ataques de phishing: suplantar una identidad valiéndose de la legitimidad de una cuenta verificada, cambiando solo el nombre y la foto de perfil, y solicitar criptomonedas empleando la identidad de un organismo o figura pública.
Estas prácticas, que tienen más de un año ocurriendo, han llamado la atención del CEO de Twitter, Jack Dorsey. Dorsey aseveró ante el Congreso de Estados Unidos que están considerando utilizar la “confianza distribuida” para resolver los problemas de protección al usuario de la red social.
Sin embargo, ni el interés mostrado por Dorsey ni las medidas de prohibición de la publicidad de Ofertas Iniciales de Criptomonedas o y otras vinculadas a estas, han detenido las criptoestafas de Twitter ni han impedido que los estafadores contraten campañas publicitarias en esta red social.
Por ello, Elon Musk y Jackson Palmer, creador de DogeCoin, decidieron unir esfuerzos para desarrollar una solución que ponga fin a los robots de software y estafadores que suplantan la identidad de personalidades en Twitter para robar dinero e información de los usuarios.
Hasta el momento, no se ha implementado ninguna herramienta por parte de Twitter o de sus usuarios para limitar los casos de phishing, solo informar sobre los peligros de confiar en supuestos concursos o negocios rápidos que pueden ser una estafa.
Imagen destacada por Natalia Merzlyakova / stock.adobe.com
