¡Cuidado! Los cibercriminales podrían estar detrás de los anuncios de Google que ves a diario

Los cibercriminales aprovechan cada oportunidad para estafar a millones de personas con nuevos métodos y estafas. La última ha provocado el robo de cientos de miles de dólares en criptomonedas aprovechando los anuncios de Google para realizar una nueva campaña de phishing que suplantaba a carteras y plataformas populares, como Phantom App, MetaMask y Pancake Swap. 

Así lo aseguran los expertos de Check Point quienes además han investigado esta tendencia concluyendo que cada anuncio contenía un enlace malicioso que, una vez pulsado, dirigía a la víctima a un sitio web de phishing que copiaba meticulosamente la marca y los mensajes de la página del monedero original. A partir de ahí, los cibercriminales engañaban a los usuarios para que les dieran sus contraseñas de monedero, preparando el terreno para el robo del mismo. 

Tradicionalmente, las campañas de phishing se originan a través del correo electrónico pero como la innovación es siempre parte del cibercrimen, varios grupos de ciberdelincuentes están pujando por palabras clave relacionadas con los monederos en Google Ads, utilizando la búsqueda de Google como vector de ataque para dirigirse a los monederos de criptomonedas de las víctimas.

Podríamos estar ante un nuevo vector de ataque pues en tan solo un fin de semana se robaron más de 500.000 dólares. “Creo que estamos ante una nueva tendencia de ciberdelincuencia, en la que los estafadores utilizarán la búsqueda de Google como vector de ataque principal para llegar a las criptocarteras, en lugar del tradicional phishing a través del correo electrónico”, alerta Eusebio Nieva, director técnico de Check Point Software para España y Portugal. 

Cómo funciona la estafa

1. El ciberdelincuente coloca un anuncio en Google para que aparezca en primera posición en una consulta de búsqueda relacionada con un monedero de criptomonedas. 
2. La víctima hace clic en el enlace malicioso del anuncio de Google.
3. El usuario es redirigido a una página web de suplantación de identidad que parece idéntica a la página web del monedero original.
4. El sitio web falso intenta robar su contraseña, si ya tiene un monedero, o le proporciona una nueva contraseña para su monedero recién creado. 
5. En ambos casos, el ciberdelincuente obtiene acceso a su cartera y puede proceder a robar todas sus criptomonedas.

Como se describe anteriormente, cada anuncio malicioso conduce a una página web de phishing creada para lograr el hurto de los credenciales y contraseña del usuario. Con este método, se han logrado vulnerar 11 cuentas de monedero, cada una de las cuales contenía entre 1.000 y 10.000 dólares y los ciberdelincuentes han retirado algunos de los fondos antes de ser descubiertos. Se estima que el pasado fin de semana se han robado más de 500.000 dólares.

Cómo defenderse de este nuevo vector de ataque 

1. Examinar la URL del navegador: sólo la extensión debe crear la passphrase, y para entender si se trata de una extensión o de una página web mira siempre la URL del navegador.
2. Buscar el icono de la extensión: la extensión contendrá un icono de ampliación cerca de ella y una URL de extensión de Chrome:

5. No facilitar nunca la passphrase: Los usuarios nunca deben dar su contraseña, nadie debe pedirla. Sólo se utilizará cuando se instale un nuevo monedero.
6. Saltar los anuncios: si se buscan carteras o plataformas de intercambio de criptomonedas, siempre hay que mirar el primer sitio web en su búsqueda y no en el anuncio, ya que estos pueden inducir a ser estafado por los ciberdelincuentes.
7. Mirar la URL: por último, pero no por ello menos importante, ¡hay que comprobar siempre dos veces las URL!

La entrada ¡Cuidado! Los cibercriminales podrían estar detrás de los anuncios de Google que ves a diario aparece primero en Globb Security.