El mercado negro de cheques azules.

Entramos en el mercado clandestino donde los piratas informáticos venden cuentas verificadas para hacer que las estafas sean más creíbles

Por SHUBHAM AGARVAL

Vincent Kilbride / El borde. The Verge.

El 15 de agosto, apareció un correo electrónico alarmante en la bandeja de entrada de Diana Pearl, una editora de noticias con sede en Nueva York. Alguien en Moscú había iniciado sesión en su cuenta verificada de Twitter, dijo. Pearl estaba familiarizada con el tema del contenido del correo electrónico, ya que se parecía a la correspondencia automatizada anterior de Twitter, con un fondo blanco mínimo, texto negro y enlaces azules.

Temiendo la seguridad de su cuenta, Pearl hizo clic en el enlace dentro del correo electrónico que supuestamente le permitiría proteger su cuenta instantáneamente e ingresó su contraseña existente en la siguiente página web para actualizarla.

Momentos después, llegó un mensaje a un grupo de Telegram. Todo lo que contenía era una captura de pantalla del perfil de Twitter de Pearl y un enlace. Tres horas después, el administrador envió un mensaje de texto, “Vendido”.

Pearl había sido víctima de un ataque de phishing. El correo electrónico no era de Twitter sino de un hacker que había copiado el aspecto de un mensaje oficial de Twitter. Pearl estaba fuera cuando llegó el correo electrónico y asumió que no podía darse el lujo de esperar hasta llegar a casa para leerlo en su computadora. Además, el tono urgente del correo electrónico apresuró a Pearl a reaccionar sin verificar sus detalles. Si lo hubiera hecho, podría haber notado la dirección de correo electrónico sospechosa de la que procedía o el hecho de que el enlace no conducía a la URL oficial de Twitter. 

La cuenta de Pearl fue solo una venta en un vasto y lucrativo mercado negro de identificadores de Twitter verificados. En este grupo de Telegram en particular, el control de una cuenta verificada generalmente cuesta un par de cientos de dólares, que los compradores generalmente esperan recuperar promoviendo estafas de NFT. Tales robos ocurren regularmente, con docenas que pierden sus perfiles todos los días si la frecuencia de los nuevos listados en los mercados para perfiles verificados es alguna evidencia. Y a pesar de años de evidencia, las plataformas parecen impotentes para detener el comercio en curso.

Cuando la cuenta del escritor de The Atlantic, Jacob Stern, se vio comprometida en mayo a principios de este año, se usó para engañar a los propietarios de NFT de Moonbirds para que transfirieran sus tokens a la billetera del pirata informático. Durante unas pocas horas, el hacker envió cientos de tweets anunciando una nueva “caída” con un enlace de phishing, lo que llevó a los compradores a transferir una suma de criptomonedas a cambio de un NFT falso o ninguno. El perfil de la reportera de MPR News, Dana Ferguson, fue renombrado de manera similar en agosto, excepto por el nombre de usuario, que habría revocado la insignia de verificación, para robar los NFT de Killabears. Ambos compromisos se vincularon con el mismo grupo de Telegram, donde las cuentas estaban a la venta.

Algunos piratas informáticos incluso reclutan artistas de NFT más pequeños en la estafa. Cuando hackearon a la escritora con sede en California Marissa Wenzke, su cuenta realizó una campaña promocional para el grupo detrás de la colección NFT llamada “Meta Battlebots”, un proyecto de arte NFT real sin ninguna estafa asociada obvia. Cuando se les informó que estaban siendo promocionados por una cuenta pirateada, la cuenta oficial de Twitter de Meta Battlebots respondió: “No te preocupes por eso”. Un momento después, bloquearon la cuenta del reportero, poniendo fin a la conversación.

Dipanjan Das, investigador de seguridad de UC Santa Barbara que realizó un estudio exhaustivo sobre los fraudes de NFT, dice que una insignia de verificación agrega un sello de autenticidad, y un estafador con un perfil de Twitter verificado puede atraer mucha más atención y tener un mayor impacto. Y al enfocarse en el ecosistema NFT multimillonario, tanto los piratas informáticos como los compradores o los estafadores pueden recuperar sus costos en unos pocos tweets antes de que los propietarios de las cuentas inicien el proceso de recuperación.

“En una sola estafa ordinaria de NFT, es muy fácil para los estafadores ganar cientos de miles de dólares”, le dice a The Verge Haseeb Awan, fundador y director ejecutivo de Efani, un proveedor de servicios móviles seguros. “Incluso si uno de los 10 intentos tiene éxito, es mucho dinero”.

Anteriormente, los robos de cheques azules en Twitter eran raros y coordinados, en gran parte comercializados en mercados como Swapd y Ogu.gg. Sin embargo, a medida que aumenta la demanda de cuentas verificadas para promociones y estafas de NFT, los piratas informáticos han recurrido a canales más accesibles como Telegram para llegar a audiencias más amplias. Y la forma en que los piratas informáticos ingresan es más fácil de lo que piensas.

La mayoría de los piratas informáticos detrás de los robos de cheques azules en Twitter se basan en un ataque llamado “relleno de credenciales”, según las conversaciones que The Verge tuvo con muchos piratas informáticos actuales y anteriores que solicitaron el anonimato por temor a un retroceso en la comunidad de seguridad.

En un ataque de relleno de credenciales, los piratas informáticos comienzan con una gran base de datos filtrada de combinaciones de nombre de usuario y contraseña, que ya no son difíciles de encontrar, gracias al aumento de las infracciones a gran escala. El intruso fuerza brutamente los nombres de usuario y las contraseñas de las credenciales coincidentes en el formulario de inicio de sesión de Twitter y pone a la venta las visitas exitosas en sus grupos.

Cuando ese enfoque choca con un muro, ya sea porque la cuenta tiene habilitada la autenticación de dos factores o porque no han reutilizado la contraseña de una cuenta violada, los atacantes recurren al phishing. A medida que el phishing por correo electrónico se vuelve menos efectivo a través del correo electrónico, muchos se han mudado a probarlo en Twitter, reutilizando una cuenta de verificación azul pirateada para hacerse pasar por el equipo de Soporte de Twitter.

Un ex hacker llamado “Owen”, que ha trabajado en el desarrollo de programas de relleno de credenciales, le dijo a The Verge que en un momento dado, docenas de perfiles verificados están comprometidos y buscan un comprador. En una conversación de DM que vi, un posible comprador dijo que estaba buscando a alguien con experiencia en el robo de NFT con perfiles verificados. “Puedo proporcionarle aproximadamente 500 ‘verificados’ dentro del próximo mes”, agregó.

Y si bien los compromisos individuales pueden ser un dolor de cabeza para usuarios como Pearl, sigue siendo lo suficientemente raro como para que las plataformas no parezcan preocupadas por el comercio en curso. Telegram no respondió a una solicitud de comentarios de The Verge .

La gerente de comunicaciones de Twitter, Celeste Carswell, dice que la red social trabaja activamente para educar a las personas sobre cómo evitar estafas y bloquea millones de cuentas sospechosas de spam cada semana. “Desafortunadamente, los estafadores se han vuelto más sofisticados”, dijo Caldwell a The Verge.

Comentarios