Campaña de correos de suplantación: BlockFi

Blockfi fue uno de los servicios de criptomonedas, con sede en New Jersey, afectados por la estafa de Sam Bankman-Fried en 2022, lo que provocó la bancarrota del servicio, quedando retenidos los fondos de todos sus usuarios, y el inicio de un litigio entre Blockfi y FTX. La situación afectó a más de 100.000 acreedores de la empresa.

Se inició un proceso durante el cual BlockFi solicitó a las autoridades permiso para iniciar un Plan de Reestructuración, que terminó siendo aprobado hacia finales de 2023, y se abrió un plazo en el cual los usuarios podían reclamar los fondos que tenían en la plataforma, que finalizó el último día de 2023. Se puede obtener más información sobre dichos plazos en su web oficial.

Para la gestión de todo el proceso, contaron con los servicios de Kroll, una firma global de servicios de inteligencia y seguridad que brinda una amplia gama de servicios, que incluyen investigaciones de fraude, gestión de riesgos, cumplimiento normativo, seguridad cibernética y consultoría en crisis.

Para más inri, Kroll fue víctima de un hackeo por medio de un ataque de duplicación de la tarjeta SIM a uno de sus empleados, por lo que los ciberdelincuentes pudieron hacerse con datos de las personas afectadas por la bancarrota de Blockfi, como nombre, dirección física, dirección de correo electrónico, e importes adeudados por Blockfi. Esto produjo en su momento varias campañas de phishing, donde los atacantes trataron de obtener los datos restantes que necesitaban para poder suplantar a los acreedores.

Recientemente el litigio entre Blockfi y FTX se ha resuelto, de forma favorable para la empresa, y por ende, para todos aquellos que tuvieron su dinero bloqueado, por lo que a partir de este mes de marzo comenzarán a recuperar su dinero.

Dichos plazos han sido aprovechado por los listos de siempre para iniciar una campaña más de phishing, que actualmente se encuentra en marcha.

Vamos a ver algunos detalles de esta nueva campaña de phishing.

En dichos correos, que traen el título «IMPORTANT: You now have the ability to withdraw remaining assets in your account», se puede observar como remitente la dirección [email protected], y como dirección de respuesta conf-65faa100b50da26fea38544e-65faa0fe92a18a045760ed23@smtpic-ne.prd1.everbridge.net, en el caso que estoy analizando, pero probablemente estén utilizando códigos alfanuméricos diferentes para la lista de usuarios que tengan, de modo que puedan organizar la pesca de datos.

El aspecto del correo parece legítimo, y no contiene faltas de ortografía u otros fallos que permitan sospechar de él.

En el botón ‘Begin Now’ han incluido un enlace que redirige al dominio hxxps://settled-blockfi.com/claim/, web que tiene este aspecto:

Web falsa de Blockfi

La web imita visualmente el aspecto actual de la web de Blockfi. Sin embargo, ninguno de los enlaces inferiores de la página, de las secciones Legal y Resources, es funcional.

Tanto el botón de login de la parte superior (no visible en la imágen que he subido), como ‘Connect Wallet’, al pulsarlo por primera vez ofrece una ventana donde escribir manualmente la firma (dato que los ladrones podrían necesitar en algún momento del proceso de suplantación del acreedor), y la siguiente vez que es pulsado ya aparece una ventana con los tipos de carteras crypto más conocidas.

A partir de ahí, en caso de que la víctima introduzca la contraseña para abrir su cartera, dichos datos ya pasarían a estar en manos de los delincuentes, con lo cual en caso de haber fondos, ya podrían darse por perdidos.

El sitio ya se encuentra denunciado en Safebrowsing de Google, pero posiblemente pase algún tiempo hasta que sea bloqueado en los buscadores, por lo que debería evitarse cualquier conexión con el dominio hxxps://settled-blockfi.com.

Todas las comunicaciones legítimas referente a la recuperación de Blockfi se reciben únicamente desde redes sociales @BlockFi, o los agentes legales de reclamación ([email protected][email protected]), o mediante el socio de Kroll para la distribución de las reclamaciones Digital Disbursements ([email protected]), tal como anuncian en la página de resolución del litigio con FTX.

Más información sobre seguridad y prevención durante este proceso, se puede encontrar en la web oficial.

 

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.