El ataque de ingeniería social Web3 es un método que utiliza la ingeniería social para manipular a los usuarios y hacer que divulguen información confidencial, como cuentas de usuario y contraseñas, induciendo a los usuarios a autorizar y transferir activos de criptomonedas y NFT de los usuarios. Esto pone en peligro la seguridad y la privacidad de la red Web3. A continuación, vamos a presentar seis tipos de ataques de ingeniería social y ofrecer sugerencias específicas de prevención.

1. 1. Discord Phishing

Discord ha surgido como un próspero centro para usuarios encriptados, fomentando conexiones comunitarias y el intercambio de noticias. Sin embargo, su popularidad no lo hace inmune a posibles amenazas. En este espacio dinámico, los actores malintencionados pueden distribuir sigilosamente enlaces sospechosos con el objetivo de robar sus valiosas credenciales de cuenta.

En las comunidades de Discord, es posible que te encuentres con mensajes que afirmen que has ganado un premio, pero en realidad son enlaces de phishing disfrazados.

Haciendo clic en el enlace te llevará a un sitio web similar a Discord y solicitará autorización.

Después de hacer clic en Autorizar, aparecerá otra ventana de inicio de sesión de Discord.

Primero, no podemos arrastrar esta ventana de inicio de sesión fuera de la ventana actual del navegador.

En segundo lugar, hay algunas señales sospechosas en la dirección mostrada. La dirección "https:\discord.com\login" utiliza la barra invertida () para conectarse, mientras que la dirección de inicio de sesión oficial "https://discord.com/loginUtilice una barra inclinada (/) para navegar.

La página de la ventana se parece mucho a la ventana de inicio de sesión legítima de Discord, con muy pocas diferencias. La imagen de la ventana de inicio de sesión oficial es la siguiente:

Una vez que el usuario ingrese su nombre de usuario y contraseña de la cuenta en la página de phishing, su cuenta personal se filtrará de inmediato y la información confidencial se verá expuesta. Los estafadores pueden utilizar esta información para obtener acceso no autorizado a las cuentas de usuario y participar en actividades fraudulentas.

Verificando el código fuente de la página web en el modo desarrollador del navegador

Puede verificar el código fuente de la página web a través del modo desarrollador del navegador.

En el proceso de phishing anterior, después de hacer clic en Autorización, la falsa ventana de inicio de sesión de Discord que aparece no es realmente una ventana nueva, sino una interfaz incrustada. ¿Cómo puedes descubrir esto?

Presione la tecla F12 para ingresar al modo de desarrollador del navegador. En la pestaña Elementos, puede ver el código HTML y CSS de la página web actual. Para la parte de la página que sospeche, como esta ventana emergente de inicio de sesión de Discord, puede hacer clic en esa sección con el mouse y, por lo general, puede encontrar el código correspondiente en el panel Elementos.

Al revisar el código fuente de la página, encontramos que se trata de una etiqueta , utilizada para insertar una imagen en la página web, y src se utiliza para especificar la ruta de la imagen.

Ingrese al modo desarrollador del navegador desde la ventana de inicio de sesión oficial de Discord, como se muestra en la figura a continuación:

Por lo tanto, cuando encontramos una anomalía, podemos presionar F12 para ingresar al modo desarrollador del navegador y ver el código fuente de la página para determinar si nuestra sospecha es correcta. Especialmente cuando haces clic en enlaces no familiares para reclamar recompensas, debes abordar cada paso con sospecha y precaución.

2. Phishing en Twitter

En Twitter (ahora X), la popular plataforma para entusiastas de las criptomonedas, ha surgido una gran amenaza - el phishing. Los actores maliciosos manipulan astutamente a los usuarios con airdrops tentadores y NFTs gratuitos. Al redirigirlos a sitios web engañosos, estos atacantes planean meticulosamente la pérdida de criptomonedas y valiosos activos NFT.

Los airdrops y los NFT gratuitos son áreas de gran interés para muchos. Los estafadores aprovechan las cuentas verificadas de Twitter hackeadas para lanzar campañas y redirigir a los usuarios a sitios web de phishing.

Los estafadores utilizan activos de proyectos legítimos de NFT para crear sitios web de phishing.

Se valen de servicios populares como Linktree para redirigir a los usuarios a páginas falsas que imitan a los mercados de NFT como OpenSea y Magic Eden.

Los atacantes intentarán convencer a los usuarios para que conecten sus billeteras de criptomonedas (como MetaMask o Phantom) a sitios web de phishing. Los usuarios desprevenidos pueden conceder sin saberlo acceso a sus billeteras a estos sitios web de phishing. A través de este proceso, los estafadores pueden transferir criptomonedas como Ethereum ($ETH) o Solana ($SOL), así como cualquier NFTs que se encuentren en estas billeteras.

Ten cuidado con los enlaces sospechosos en Linktree

Cuando los usuarios agregan enlaces relevantes en Linktree u otros servicios similares, necesitan verificar el nombre de dominio del enlace. Antes de hacer clic en cualquier enlace, verifique que el nombre de dominio vinculado coincida con el nombre de dominio real del mercado de NFT. Los estafadores pueden usar nombres de dominio similares para imitar mercados reales. Por ejemplo, el mercado real podría ser opensea.io, mientras que el mercado falso podría ser openseea.io u opensea.com.co, etc.

Por lo tanto, es mejor que los usuarios elijan agregar enlaces manualmente. A continuación se muestran los pasos para agregar un enlace manualmente:

Primero, debe encontrar la dirección del sitio web oficial al que desea vincular https://opensea.io/, y copiar la URL.

Haz clic en "Agregar enlace" en Linktree, ingresa la URL que acabas de copiar y haz clic en el botón "Agregar".

Después de que la adición sea exitosa, puedes ver "Opensea" a la derecha. Haz clic en "Opensea" para redirigir al sitio web oficial de Opensea.

3. Web Spoofing / Phishing

Aquí, explicaremos cómo los atacantes construyen sus dominios de sitios web de phishing para hacerse pasar por el sitio web oficial de OpenAI y engañar a los usuarios para que se conecten a su propia billetera de criptomonedas, lo que resulta en la pérdida de criptomonedas o NFT.

Los estafadores envían correos electrónicos de phishing y enlaces con líneas de asunto como "No te pierdas la oferta de tokens OpenAI DEFI por tiempo limitado". El correo electrónico de phishing afirma que GPT-4 ahora solo está disponible para aquellos que poseen tokens de OpenAI.

Después de hacer clic en el botón “Start”, serás redirigido al sitio web de phishing, openai.com-token.info.

Conecta tu billetera a un sitio web de phishing.

Los usuarios son tentados a hacer clic en un botón de "Haga clic aquí para reclamar", y al hacer clic, pueden optar por conectarse utilizando billeteras de criptomonedas populares como MetaMask o WalletConnect.

Después de que se establece la conexión, los sitios web de phishing pueden transferir automáticamente todos los tokens de criptomonedas o activos NFT de la billetera del usuario a la billetera del atacante, robando así todos los activos en la billetera.

Reconocer nombres de dominio genuinos y falsos

Si sabes cómo identificar los nombres de dominio en las URL, podrás evitar eficazmente el suplantación de identidad y el phishing en la web. A continuación, se explican los componentes clave de un nombre de dominio.

Generalmente, los sitios web comunes son nombres de dominio de segundo nivel o nombres de dominio de tercer nivel.

1. El nombre de dominio de segundo nivel consta del nombre de dominio principal y del nombre de dominio de nivel superior, como google.com. Entre ellos, “google” es el nombre de dominio principal, que es la parte central del nombre de dominio y representa el nombre del sitio web. “.com” es el nombre de dominio de nivel superior, que es la última parte del nombre de dominio e indica la categoría o tipo del dominio, como .com, .net, .org, etc. “.com” representa un sitio web comercial.
2. El nombre de dominio de tercer nivel consiste en el nombre de dominio principal, los subdominios y los dominios de nivel superior, por ejemplo, mail.google.com. "mail" es un nombre de subdominio, "google" es el nombre de dominio principal y ".com" es el nombre de dominio de nivel superior.

Explicando el sitio web de phishing anterior, openai.com-token.info.

1. "openai" es un nombre de subdominio.
2. "com-token" es el nombre de dominio principal.
3. “.info” es un nombre de dominio de nivel superior.

Obviamente, este sitio web de phishing está fingiendo ser OpenAI, y el nombre de dominio oficial de OpenAI es openai.com.

1. "openai" es el nombre de dominio principal.
2. ".com" es un nombre de dominio de nivel superior.

¿Cómo hizo este sitio web de phishing pretender ser OpenAI? El atacante hizo que la primera mitad de la URL de phishing se pareciera a "openai.com" utilizando el subdominio "openai" y el dominio principal ".com-token", donde "com-token" usa guiones.

4. Phishing de Telegram

El phishing en Telegram es un problema notable de ciberseguridad. En estos ataques, los actores maliciosos tienen como objetivo tomar el control de los navegadores web de los usuarios para obtener credenciales críticas de la cuenta. Para ilustrar este punto de manera más clara, echemos un vistazo paso a paso a un ejemplo.

Los estafadores envían mensajes privados a los usuarios en Telegram, que contienen un enlace a la última película de "Avatar 2", y la dirección parece ser sencilla.

Una vez que abres el enlace, llegarás a una página que parece un enlace real a la película, e incluso puedes ver el video. Sin embargo, en este momento, el hacker había tomado el control del navegador del usuario.

Desde la perspectiva de un hacker, veamos cómo explotan las vulnerabilidades del navegador utilizando herramientas de explotación para tomar el control de tu navegador.

Después de examinar el panel de control de los hackers, quedó claro que tenían acceso a toda la información sobre los usuarios que navegaban. Esto incluye la dirección IP del usuario, cookies, zona horaria del proxy, etc.

Los hackers tienen la capacidad de cambiar a la interfaz de phishing de Google Mail y realizar ataques de phishing a los usuarios de Gmail.

En este punto, la interfaz del front-end cambia a la página de inicio de sesión de Google Mail. El usuario ingresa sus credenciales de cuenta y hace clic en el botón de inicio de sesión.

En el fondo, los hackers reciben con éxito el nombre de usuario y la contraseña de inicio de sesión. Mediante este método, obtienen maliciosamente la cuenta de los usuarios y la información de la contraseña, lo que finalmente conduce a la filtración de información del usuario y causa pérdidas financieras.

Verifique el script de JavaScript cargado de forma remota en el código fuente de la página web

Puedes entrar en el modo desarrollador del navegador y verificar si hay scripts JavaScript cargados de forma remota en el código fuente de la página web. Este script es la clave para que el atacante controle el navegador del usuario. ¿Cómo puedes determinar si hay un script de phishing en el enlace que has hecho clic?

En el proceso de phishing mencionado anteriormente, cuando ingresas al enlace de la película "Avatar 2," puedes presionar la tecla F12 para ingresar al modo desarrollador del navegador y descubrir que el enlace apunta a un script de JavaScript cargado de forma remota. Los hackers pueden controlar el navegador de forma remota ejecutando el script, obteniendo así la cuenta y la contraseña del usuario.

Mientras veíamos la película “Avatar 2” en un sitio web normal, entramos en el modo desarrollador del navegador y no encontramos ningún script de JavaScript que apunte a la carga remota.

5. Metamask Phishing

Aquí, tomando el complemento Metamask como ejemplo, explicaremos cómo los atacantes pueden robar las claves privadas de la billetera de los usuarios usando este complemento.

El atacante obtiene la información de contacto del usuario objetivo, como la dirección de correo electrónico o la cuenta de redes sociales. Los atacantes fingen ser entidades de confianza, como el equipo oficial de Metamask o socios, y envían correos electrónicos de phishing o mensajes en redes sociales a los usuarios objetivo. Los usuarios reciben un correo electrónico haciéndose pasar por MetaMask, pidiendo verificar su billetera:

Cuando el usuario hace clic en "Verificar su billetera", será dirigido a la siguiente página. Esta página afirma ser el sitio web oficial o la página de inicio de sesión de Metamask. Durante ataques de phishing reales, hemos identificado dos páginas de phishing diferentes. La primera pide directamente a los usuarios que ingresen su clave privada, mientras que la segunda solicita la frase de recuperación del usuario. Ambas están diseñadas para obtener la clave de Metamask del usuario.

El atacante obtiene la clave privada o frase de recuperación de la víctima y puede usar esta información para acceder y controlar la billetera Metamask del usuario objetivo y obtener ganancias transfiriendo o robando la criptomoneda del usuario objetivo.

Verificar Correo Electrónico y Dominio Metamask

Si necesitas instalar la extensión Metamask en Chrome, el enlace oficial eshttps://metamask.io/

Un enlace de phishing es https://metamaskpro.metamaskglobal.top/#/, por favor, ten cuidado y verifica su autenticidad.

Cuando recibas un correo electrónico que parece ser Metamask, debes prestar atención a la información del remitente y del destinatario:

El nombre y la dirección de correo electrónico del remitente tienen graves errores de ortografía: "Metamaks" en lugar de "MetaMask".

El destinatario no incluye su nombre real, alguna otra información que lo identifique y una descripción más clara de lo que se debe hacer. Esto demuestra que este correo electrónico puede enviarse de forma masiva y no solo a usted.

En segundo lugar, también puedes comprobar la autenticidad de estos enlaces por el nombre de dominio：

Haga clic en "Verificar su billetera" para ingresar a la página de phishing, metamask.authorize-web.org. Analice este nombre de dominio:

1. “metamask” es un subdominio
2. "authorize-web" es el nombre de dominio principal
3. ".org" es el nombre de dominio de nivel superior

Si conoces el nombre de dominio oficial de metamask, metamask.io, fácilmente descubrirás que has sido atacado por un ataque de phishing:

1. "metamask" es el nombre de dominio principal
2. La extensión de dominio de nivel superior es ".io"

El nombre de dominio del sitio de phishing, metamask.authorize-web.org, tiene un certificado SSL, lo que engaña a los usuarios haciéndoles creer que es un lugar seguro para operar. Pero debes tener en cuenta que el uso de MetaMask solo se realiza bajo el nombre de subdominio del dominio de nivel superior registrado.

6. VPN Phishing

Una VPN es una tecnología de cifrado utilizada para proteger la identidad y el tráfico de los usuarios de Internet. Encripta y transmite los datos del usuario mediante el establecimiento de un túnel seguro entre el usuario e Internet, lo que dificulta que terceros invadan y roben datos. Sin embargo, muchos VPN son VPN de phishing, como PandaVPN, letsvpn y LightyearVPN, por nombrar algunos. Los VPN de phishing suelen filtrar la dirección IP del usuario.

Cuando te conectas usando una VPN, tu dispositivo envía una solicitud DNS al servidor VPN para obtener la dirección IP del sitio web que deseas visitar. Idealmente, una VPN debería manejar estas solicitudes DNS y enviarlas a través del túnel VPN al servidor VPN, ocultando así tu verdadera dirección IP. Si estás utilizando una VPN de phishing, puede ocurrir una fuga DNS y tu verdadera dirección IP puede quedar registrada en los registros de consulta DNS, lo que hace que tus actividades en línea y registros de acceso sean rastreables. Esto puede destruir tu privacidad y anonimato, especialmente si estás tratando de ocultar tu verdadera dirección IP.

Autoverificación de fuga de IP

Cuando uses un VPN para navegar por Internet, puedes probar si el VPN está filtrando tu dirección IP a través de los sitios web ipleak.net o ip8.com. Estos sitios web solo pueden mostrar tu dirección IP pública, que es la dirección IP asignada a tu conexión a Internet. Si estás usando un servicio VPN, estos sitios web mostrarán la dirección IP del servidor VPN al que estás conectado, en lugar de tu dirección IP real. Esto puede ayudarte a verificar si el VPN está ocultando con éxito tu dirección IP real.

Puede verificar si su dirección IP ha sido comprometida siguiendo las instrucciones a continuación:

Abre tu navegador y visita ipleak.net, que mostrará tu dirección IP actual. Como se muestra en la imagen a continuación, tu dirección IP aparece como 114.45.209.20. Y señaló que "Si estás usando un proxy, es un proxy transparente." Esto indica que tu dirección IP no ha sido filtrada y que tu conexión VPN está ocultando con éxito tu dirección IP real.

En este momento, también puede consultar su dirección IP real a través de la línea de comandos ipconfig /all. Si la dirección IP consultada aquí no coincide con la dirección IP consultada a través de ipleak.net, significa que su dirección IP está realmente oculta. Si coinciden, su dirección IP está expuesta. Como se muestra en la figura a continuación, la dirección IP real de la máquina consultada a través de ipconfig /all es 192.168.., que es inconsistente con 114.45.209.20 mostrado en la figura anterior, y la dirección IP no está filtrada.

Resumir

En resumen, hemos presentado en detalle seis ataques de ingeniería social Web3 y proporcionado medidas de identificación y prevención correspondientes. Para evitar eficazmente los ataques de ingeniería social Web3, es necesario estar más atento a los enlaces, correos electrónicos y mensajes desconocidos de las plataformas sociales. Además, también recomendamos que aprenda a verificar el código fuente de las páginas web en el modo desarrollador del navegador, cómo identificar nombres de dominio reales y falsos, cómo autoverificar si se ha filtrado la dirección IP y analizar los riesgos de seguridad involucrados. Si tiene alguna otra pregunta sobre la seguridad Web3 o la auditoría de contratos inteligentes, no dude en contactarnos.conectarUn miembro de nuestro equipo se pondrá en contacto contigo y te asistirá lo antes posible.

Descargo de responsabilidad：

1. Este artículo ha sido reimpreso de [ForesighNews]. Todos los derechos de autor pertenecen al autor original [Salus]. Si hay objeciones a esta reimpresión, por favor contacte al Gate Learnequipo, y lo manejarán rápidamente.
2. Responsabilidad: Las opiniones expresadas en este artículo son únicamente del autor y no constituyen ningún consejo de inversión.
3. Las traducciones del artículo a otros idiomas son realizadas por el equipo Gate Learn. A menos que se mencione lo contrario, está prohibido copiar, distribuir o plagiar los artículos traducidos.