El timo de la estampita: un falso Elon Musk consigue robar 28 bitcoins

El timo de la estampita

No consigo entender cómo funciona la mente humana. Imagino que conoceréis el timo de la estampita: básicamente, el estafador se valía de un supuesto tonto con un sobre lleno de billetes al que no daba importancia alguna porque creía que lo que llevaba eran meras estampitas. Con esto entablaba conversación con algún ciudadano y entraba en escena un listo que proponía al ciudadano estafar al tonto. Entonces el ciudadano le ofrecía al supuesto tonto una pequeña cantidad de dinero por sus estampitas. Sin embargo, cuando ya el listo y el tonto se habían marchado, el ciudadano se daba cuenta de que en el sobre que le habían dado no había dinero, sino papeles sin valor.

Más o menos esa misma idea pero modernizada es lo que ha utilizado un cibercriminal para engañar a gente en Twitter y hacerse con más de 180.000 dólares en criptomonedas, aunque en este caso había algo de preparación detrás. Vamos a verlo de forma muy esquemática.

Un sencillo ataque de ingeniería social

– El cibercriminal consigue hacerse con una cuenta verificada en Twitter, de las que tienen el simbolito de verificado.

– Una vez con esa cuenta en su poder, cambia la foto y pone la misma foto que utiliza Elon Musk en su perfil real (también verificado).

– También cambia el nombre que muestra la cuenta para que figure el nombre de Elon Musk, aunque el perfil de Twitter sigue mostrando el nombre original de la cuenta (@PantheonBooks)

– Envía la noticia de que abandona la dirección de Tesla y que quiere hacer una donación en Bitcoins a toda su comunidad de seguidores.

– Como las direcciones de BTC son anónimas, tienes que hacerle un envío de 0.1 BTC (unos 640 dólares) o superior y el te devolverá un +200% de tu donación al disponer ya de la dirección de tu wallet.

– …

Además lo envía como Tweet promocionado, es decir, que sale en miles de cuentas de todo el mundo aunque no sigas directamente a la cuenta original. Brillante, ¿verdad?. Aunque ninguno de nosotros caería en esto simplemente PORQUE NADIE REGALA DINERO ASÍ PORQUE SÍ. Pero el resultado fue que miles de usuarios en todo el mundo hicieron esa pequeña donación esperando a que Elon les devolviera +200% de la inversión inicial.

No ha quedado claro cómo el malote consiguió hacerse con una cuenta verificada en Twitter. Seguramente tuvo acceso a la dirección de correo electrónico del propietario real de la cuenta, ya que cuando envías un tweet promocionado se te envía una confirmación por correo electrónico porque ese tipo de tweets tienen un coste dependiendo del número de gente que lo vaya a recibir. Una vez con acceso a la dirección de correo electrónico del propietario sólo tuvo que recuperar la contraseña de Twitter para poder modificar la imagen y el nombre. Es decir, que el ataque no incluía demasiados medios técnicos ni una gran labor de investigación como hemos visto en otros ataques… y con todo consiguió llevarse casi 28 Bitcoins, unos 180.000 dólares al cambio actual.

No me canso de repetirlo, para estar protegidos contra un ataque de este tipo sólo tenemos que pararnos a pensar un poquito. Recordad que es lo mismo que hacíamos cuando un malware intentaba infectar nuestro ordenador con un ataque de Ransomware haciéndose pasar por una factura de Iberdrola… simplemente tenemos que pensar ‘¿Iberdrola me enviaría un email diciéndome que tengo una factura demasiado grande?’ o cuando nos llegaba un email de nuestro banco pidiéndonos que introdujéramos el número de tarjeta de crédito y el PIN en una página web, donde simplemente teníamos que pararnos y pensar ‘no sé si es cierto o no, pero mejor bajo mañana al banco en lugar de poner mi PIN en una página web porque no me fío mucho…’. Como veis no hacen falta grandes conocimientos técnicos o un análisis de la cuenta de Twitter para ver si de verdad coincide con quien dice ser o mirar sus últimos tweets para comprobar que en realidad no se trata de Elon Musk, simplemente habría que pensar ‘¿por qué va alguien a regalar dinero así porque sí?’

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.