Estafan bitcoins a compradores de equipos de minería

Cómo falsos vendedores roban bitcoins de compradores que buscan equipo de minería.

El incremento del valor de algunas criptomonedas ha conllevado un aumento de la demanda de equipos de minería.  Sin embargo, las restricciones por la COVID-19 han causado que el suministro disminuya. Como consecuencia, vuelve a haber en el mundo una escasez de tarjetas gráficas potentes y equipos de minería de criptomonedas, con meses de espera para las entregas. Y, como siempre, los cibercriminales buscan la forma de aprovecharse de la crisis.

Por ejemplo, los estafadores han estado robando criptomonedas a los compradores mediante un popular servicio de Google y un clon del sitio web de un fabricante de equipo de minería.

Cómo funciona la estafa

Los estafadores y los que  envían spam llevan mucho tiempo confiando en los servicios de Google (Formularios, Hojas de cálculo, Calendario, Fotos, etc.) debido a su capacidad para enviar notificaciones automáticas a cualquiera con quien el autor comparta o mencione en un archivo (o una entrada en el calendario, etc.). Estos correos electrónicos no provienen del autor real, sino nada menos que de Google, así que los filtros de spam en general los suelen dejar pasar.

En este caso, los mineros potenciales de criptomonedas reciben correos electrónicos en los que se les notifica que un usuario con el apodo de BitmainTech, (nombre de un fabricante real de equipo de minería) los mencionó en un archivo de Google Docs. El nombre —@docs[.]google[.]com— en el campo del Formulario ayuda a bajar la guardia del destinatario. El nombre de usuario que se muestra puede ser el que el remitente elija, mientras que su dirección de correo electrónico real permanece oculta.

El correo electrónico dice: “BitmainTech te mencionó en un documento”

El cebo continúa en forma de un anuncio de la venta de maquinaria minera Antminer S19j. Los estafadores, haciéndose pasar por el departamento de ventas de Bitmain, informan de que el equipo está disponible para la compra, pero el tiempo se acaba, el inventario es limitado y la entrega se realiza en el orden de las peticiones recibidas. El texto está lleno de hechos y cifras que inspiran confianza.

El falso equipo de ventas de Bitmain utiliza Google Docs para informar a la víctima sobre la disponibilidad del Antminer S19j

El mismo texto aparece en el archivo de Google Docs, pero con un enlace activo que lleva, mediante una cadena de redireccionamientos, a bitmain[.]sa[.]com, un clon del sitio web oficial bitmain[.]com (observa las diferencias en las direcciones). Una revisión en WHOIS revela que el dominio del sitio falso se registró en marzo de 2021.

Para dar mayor credibilidad, los cibercriminales utilizan el protocolo HTTPS. Los lectores de este blog ya saben que el HTTPS protege los datos de ser interceptados, ya que viaja del usuario al sitio, pero no garantiza que el sitio sea de confianza. Si el sitio de destino es malicioso, utilizar un protocolo seguro solo significa que los datos viajarán de manera segura hasta los cibercriminales.

Sitio falso de Bitmain con anuncio de Antminer S19j

En el momento de esta publicación, en la web real de Bitmain, el botón de Comprar estaba inactivo debido a que el último lote de Antminer S19j ya se había agotado; en la web no se prevéen nuevas entregas hasta después de octubre. Pero en la web falsa, la codiciada máquina de minería termina automáticamente en el carrito de compra, y por el mismo precio que la real, 5.017 dólares.

La web falsa te deja agregar la máquina minera a tu carrito de compras

Para finalizar la compra, la víctima tiene que iniciar sesión o registrarse. Hay dos razones posibles para incluir este requisito: para darle más autenticidad y para construir una base de datos de direcciones y contraseñas para llevar a cabo el hackeo de cuentas. A pesar de registrarnos (con una dirección de correo electrónico creada para ello, por supuesto), nunca recibimos un mensaje de confirmación del registro.

Página falsa de autorización de Bitmain

En cualquier caso, el sistema permite que el usuario inicie sesión y finalice la compra. El procedimiento de inicio de sesión parece muy convincente.

¡El Antiminer S19j está en el carrito! O eso parece

En el siguiente paso, se le pide a la víctima que proporcione una dirección de entrega. Tal vez los estafadores recopilan estos datos para venderlos también.

Una advertencia de que el fabricante no puede hacer envíos a China continental si el pedido se hace desde un sitio con idioma inglés

La mayoría de los fabricantes de equipos de minado de criptomonedas están ubicados en China, entre los que se incluye Bitmain. Desplazar equipo costoso y pesado desde allí no es barato, y, aun así, los cibercriminales cobran cinco dólares por el envío, independientemente del destino y del servicio (UPS, DHL o FedEx).

Elegir un servicio de entrega. El coste del envío es de $5.45 dólares, sin importar a dónde vaya el envío

A continuación, se le pide a la víctima elegir un método de pago. Deben utilizar una criptomoneda, pero pueden elegir BTC, BCH, ETH o LTC.

Elegir un método de pago: Bitcoin, Ethereum, Bitcoin Cash o Litecoin

El paso final, y el más importante, es realizar el pago. Los cibercriminales proporcionan la información de un monedero de criptomonedas y advierten que la transacción deberá completarse en un plazo máximo de dos horas o se cancelará el pedido. Cabe destacar que el coste de entrega, aunque sea pequeño, no aparece en la factura.

El precio total del pedido no incluye el envío

Después de que la víctima haya gastado una importante cantidad de criptomonedas, la credibilidad se evapora. La cuenta personal del usuario no incluye la información del pedido y los botones están desactivados.

El lamentable final

Cómo permanecer a salvo frente a las estafas

Para evitar que te engañen, mantente alerta para no caer en publicidad engañosa.

  • Mantente alerta y presta especial atención si alguien trata de apresurarte para que realices el pago. En este caso, la aparición de un producto en venta que está a punto de agotarse es igual que recibir una notificación en la que te informan de ser el ganador de la lotería (doblemente sospechoso si ni siquiera compraste un décimo).
  • Revisa el sitio web oficial. Si recibes una oferta de una marca conocida, busca en el sitio web oficial la información de la promoción. Y examina siempre la barra de direcciones.
  • Utiliza un producto de seguridad avanzado con protección contra phishing y fraude online, como Kaspersky Internet Security.

Consejos