El educador de criptomonedas Duo Nine, creador de la plataforma Your Crypto Community (YCC), casi fue víctima de una estafa de suplantación de identidad el 30 de septiembre, según un hilo de X del 1 de octubre.
Los estafadores afirmaron ser ejecutivos de la empresa de capital de riesgo ParaFi. Su objetivo era convencer a Duo Nine de que descargara un "parche" que permitiera que su copia de Slack funcionara. En realidad, el "controlador" probablemente era un malware y los suplantadores estaban intentando robar su clave privada y vaciar su billetera de criptomonedas de todo lo que contenía.
El socio de ParaFi, Kevin Yedid-Boton, declaró en una publicación de X del 1 de octubre que los estafadores no están asociados con su empresa y que los usuarios de criptomonedas no deberían interactuar con las cuentas falsas.
“Anoche fui víctima de una de las estafas de ingeniería social más complejas que he visto, haciéndose pasar por el personal de @paraficapital”, afirmó Duo Nine, y agregó: “Si estás en el mundo de las criptomonedas, eres un objetivo”.
Explicó que una persona que decía ser Ryan Navi, director y jefe de riesgo en ParaFi Capital, se puso en contacto con él el día X.
La persona afirmó que representaba a los protocolos Web3 Layer3, Polymarket, Zapper y Coin98. Estos protocolos buscaban “KOL” (líderes de opinión clave) que los ayudaran a comercializar sus productos, afirmó la persona, dando a entender que podrían estar interesados en asociarse con Duo Nine.
El mensaje vino de una cuenta verificada en X.
Duo Nine respondió pidiendo un correo electrónico del dominio de la empresa o un mensaje privado de la cuenta X de la empresa.
La persona se negó a proporcionarle ninguno de los dos, pero lo remitió al sitio web oficial de ParaFi, en el que figuraban “Ryan Navi” y varios otros miembros del equipo. La persona también le mostró a Duo Nine que cada miembro del equipo tenía una cuenta X verificada y que todas estas cuentas estaban siguiendo su cuenta. Según Duo Nine, vio la falta de voluntad de la persona para proporcionar un correo electrónico como una “bandera roja instantánea”. Aun así, “decidió seguir el juego”.
Conversación con un imitador de ParaFi. Fuente: Duo Nine.
Después de intercambiar algunos mensajes con él, el supuesto “Ryan Navi” invitó al educador de criptomonedas a un chat grupal de Telegram con él y otras dos personas que decían ser miembros del equipo ParaFi, Nicole Ferguson y Stephanie Ng.
A través del chat, los cuatro individuos acordaron los términos de una nueva asociación. Sin embargo, en el último minuto, “Nicole” sugirió que ambos se reunieran a través de una llamada de audio para concretar los últimos detalles. Fue en ese momento cuando comenzó a revelarse el verdadero propósito de la reunión.
Reciente: Los dos tokens criptográficos de World Record Egg huelen un poco mal
Los supuestos miembros del equipo le enviaron un enlace auténtico de Calendly, que él verificó inspeccionando la URL. A través de este enlace, organizó una reunión con ellos. Sin embargo, le advirtieron que el equipo usaría un servidor de Slack para realizar la llamada, lo que significaba que tendría que registrarse para obtener una cuenta de Slack. Esta solicitud le pareció "curiosa", pero se registró de todos modos.
Cuando Duo Nine recibió el enlace al servidor Slack de la organización, lo verificó una vez más para asegurarse de que provenía del nombre de dominio correcto, en este caso, Slack.com.
Efectivamente, el enlace conducía a un subdominio del sitio web oficial de Slack. Hasta el momento, el servidor parecía ser legítimo.
Sin embargo, al hacer clic, apareció un mensaje de error: “¡Lo sentimos! Algo salió mal, pero lo estamos investigando”, decía el mensaje.
Mensaje de error del servidor de suplantación de identidad. Fuente: Duo Nine.
Le contó a “Nicole” sobre el mensaje de error y ella le preguntó a “Ryan” al respecto. “Tuviste este error la semana pasada, ¿no?”, supuestamente le preguntó al otro supuesto miembro del equipo.
En respuesta, “Ryan” afirmó que la solución que encontró fue descargar un “controlador” al que se accedía mediante un enlace desde una publicación del foro de Reddit.
Sospechando que le estaban pidiendo que descargara malware, Duo Nine se negó a instalar el “controlador”.
En lugar de ello, volvió a pedir a los individuos que enviaran un correo electrónico desde el dominio ParaFi para demostrar que no eran impostores.
En respuesta, “Ryan” envió un correo electrónico desde paraficapital@outlook.com, presentando el dominio outlook.com incorrecto y demostrando que probablemente no tenía acceso al auténtico, parafi.com.
En ese momento, el juego había terminado. Duo Nine los confrontó con las pruebas que tenían en su contra y ellos respondieron borrando sus mensajes y terminando todo contacto con él.
En la publicación, Duo Nine instó a los usuarios a “crear conciencia” sobre esta estafa y otras similares y a mantener los fondos en billeteras de hardware para una protección adicional contra el malware.
ParaFi advierte a los usuarios sobre los suplantadores de identidad
El 1 de octubre, Yedid-Boton publicó en X para advertir a la comunidad de criptomonedas sobre la estafa. “ALERTA: CUENTAS FALSAS QUE SE HACEN PASAR POR EL EQUIPO DE @ParaFiCapital”, afirmó desde su cuenta oficial.
Según la publicación, los suplantadores de identidad “están verificados con @X y pagan una suscripción, lo que implica que estos estafadores esperan sacar provecho de estas cuentas falsas”.
Los usuarios pueden distinguir entre las cuentas reales y falsas de ParaFi porque la real tiene una insignia amarilla y los miembros reales del equipo que la siguen tienen insignias de “afiliados” que demuestran que están realmente afiliados a la empresa, afirma la publicación.
Yedid-Boton sugirió que los usuarios no deberían “interactuar ni confiar en ninguna publicación, mensaje o contenido” de las cuentas falsas.
La supuesta publicación de malware en Reddit
La publicación en Reddit sobre el supuesto malware procede del usuario u/andler_schust, cuya cuenta se creó en marzo. La publicación se creó el 22 de octubre y contiene un enlace a Flaudriver, que afirma ser una aplicación que escanea la computadora del usuario y verifica si necesita actualizar los controladores.
Aplicación web Flauidriver, presuntamente malware. Fuente: Flauidriver
Las aplicaciones de escaneo de actualizaciones de controladores a menudo requieren que el usuario apruebe permisos extensos, lo que hace que su uso sea extremadamente riesgoso. Por lo general, los usuarios no deben instalar este tipo de aplicaciones a menos que provengan de una fuente confiable. Cointelegraph no probó la aplicación para determinar si se trata de malware.
Según la plataforma de análisis de sitios web Scamvoid.net, Flauidriver fue lanzado el 20 de octubre. La publicación en Reddit se creó el 22 de octubre, dos días después de la creación del sitio.
Publicación de Reddit que promociona Flauidriver. Fuente: Reddit.
Las estafas de suplantación de identidad son un problema común en la comunidad de criptomonedas. El 15 de junio, la cofundadora de Binance, Yi He, publicó varios ejemplos de cuentas fraudulentas que encontró en X que afirmaban ser suyas, pero que en realidad eran suplantadores de identidad. Intentó generar conciencia sobre el problema y convencer a los ejecutivos de X de que estuvieran más atentos a la hora de bloquear estas cuentas.
Revista: Hackean la red Bankroll DeFi y estafador de 50 millones de dólares mueve criptomonedas en CoW: Crypto-Sec
Ese mismo día, la Agencia de Seguridad Cibernética y de Infraestructura de Estados Unidos (CISA) advirtió que los estafadores se estaban haciendo pasar por empleados del gobierno para robar criptomonedas de los usuarios.
