Scam de Phishing con Emails Oficiales Compromete a Wallets de Trezor

Un exploit en la base de datos de boletines de MailChimp ha provocado que los usuarios de Trezor sean objeto de una estafa maliciosa de phishing. El fraude fue supuestamente perpetrado por una persona de MailChimp con "información privilegiada", informó Trezor.

Trezor es un proveedor de wallets de criptomonedas por hardware, lo que significa que cualquiera puede utilizar Trezor para poner sus criptomonedas en "almacenamiento en frío". Poner el cripto en el almacenamiento en frío lo desconecta de la red; por lo genera para protegerlo del robo cibernético.

El proveedor del monedero da a los usuarios una semilla de recuperación de entre 12 y 24 palabras que les permite recuperar el contenido de la wallet en caso de pérdida o robo de su dispositivo físico. Sin embargo, si un atacante descubre esta frase, puede acceder al monedero (y a las criptomonedas) sin necesidad de utilizar el dispositivo.

El domingo, Trezor tuiteó que estaba "investigando una posible violación de datos de un boletín informativo de suscripción alojado en MailChimp" y dijo a los usuarios que "no abrieran ningún correo electrónico originado en noreply@trezor.us, es un dominio de phishing."

Poco después, Trezor confirmó que MailChimp había "sido comprometido por un insider que apuntaba a las compañías de criptomonedas."

En un breve hilo, la compañía explicó que había "sacado el dominio de phishing fuera de línea" y "no se comunicará por boletín de noticias hasta que se resuelva la situación."

Ayer, Trezor compartió una entrada de blog de seguimiento sobre los ataques de phishing. Los describe como "en curso" e incluye capturas de pantalla del correo electrónico de phishing malicioso. La publicación también contiene orientaciones para los usuarios afectados.

Actualmente no está claro si se han robado fondos con éxito en la estafa.

Ni Trezor ni las criptomonedas son inmunes a los ataques de phishing

A pesar de sus promesas de seguridad avanzada, la Web3 no es inmune a los ataques.

Los ataques de phishing son relativamente fáciles de realizar para los ciberdelincuentes, ya que si el sitio de phishing o la correspondencia parecen convincentes, los usuarios pueden acabar enviando involuntariamente sus datos a los actores maliciosos. En el caso de Trezor, el actor era un "insider" de Mailchimp.

El mes pasado, varios usuarios del popular mercado de NFT OpenSea informaron que les habían robado NFTs y Ethereum de sus carteras en un ataque que saqueó 1,7 millones de dólares en cripto.

El CEO de OpenSea, David Finzer, dijo que el equipo no "cree que esté conectado con el sitio web de OpenSea" y que unos 32 usuarios habían "firmado una carga útil maliciosa de un atacante" que parecía correspondencia oficial pero era una estafa de phishing.

Y la semana pasada, el precio de ApeCoin se hundió un 8% después de que el canal de Discord de Bored Ape Yacht Club se viera comprometido en una estafa de phishing.

La cuenta de Twitter del equipo de BAYC dijo a los usuarios "no acuñen nada de ningún Discord ahora mismo. Un webhook en nuestro Discord fue brevemente comprometido".