09 jul 2021 · 4 min read

Estafadores criptos acechan aplicaciones de citas como Tinder

Los estafadores de criptomonedas pueden haber encontrado un nuevo terreno de caza para las víctimas de bitcoins (BTC) y altcoins: las aplicaciones de citas.

Según un estudio de caso publicado por Casa, el proveedor de soluciones de auto custodia de criptografía con sede en EEUU, los estafadores han desarrollado un "ataque novedoso" que se dirige a los entusiastas de la criptografía. La firma advirtió sobre "actores maliciosos que acechan en las aplicaciones de citas". Estos atacantes, dijo, "parecen estar volviéndose más expertos en criptografía".

El caso en cuestión involucró a un inversionista criptográfico y un cliente de Casa que encontraron una coincidencia en Tinder, una mujer que afirmó compartir su interés en los criptoactivos.

El hombre comenzó a charlar con la mujer y el dúo finalmente accedió a reunirse en persona. Sin embargo, en la fecha, las sospechas del hombre se despertaron brevemente cuando su cita parecía verse muy diferente a su foto de perfil y hablaba muy poco sobre criptografía, simplemente mencionando que ella dijo que sus padres habían "comprado su primer BTC por US$30.000".

Pero después de pasar un tiempo en una cafetería, el cliente y la mujer salieron a caminar, antes de regresar a su casa. Pero mientras tomaban unas copas en su domicilio, se fue para ir al baño. Al regresar, continuó consumiendo su bebida; antes, Jameson Lopp, cofundador y director de tecnología de Casa, explicó:

“Sospechamos que la mujer mezcló la bebida de nuestro cliente con escopolamina, también conocida como 'Aliento del diablo', o una benzodiazepina. Es bien sabido que estos medicamentos causan pérdida de inhibición y pérdida de memoria ".

Este aparente truco hizo que el hombre perdiera sus inhibiciones. Lopp continuó:

"Sus recuerdos son confusos después de este punto, pero el cliente recuerda haber bebido un poco más después de regresar del baño".

"Algún tiempo después", se citó al cliente, diciendo que la mujer "tomó su teléfono y le pidió que le mostrara cómo desbloquearlo y encontrar sus contraseñas".

El proveedor de custodia agregó que “Él sabía que algo no parecía estar bien, pero sus inhibiciones y salvaguardas habían sido despojadas. Lo último que recuerda es besarla ".

Casa afirmó que no creía que el ataque "fue perpetrado únicamente por la mujer que conoció", y escribió:

“Lo más probable es que entregó el teléfono a otra persona, posiblemente a una organización criminal, para que se pusiera a trabajar y agotara sus diversas cuentas lo más rápido posible. Lo más probable es que la mujer actuara como ingeniera social ".

La víctima sufrió pérdidas muy leves y "no pudo funcionar con lucidez durante aproximadamente 24 horas". Pero le quitaron una "pequeña cantidad de bitcoins" de las cuentas de exchanges del cliente.

Lopp escribió:

“Pudo bloquear algunas de las otras compras y retiros solicitados poniéndose en contacto con esos custodios para informarles del compromiso. Dado que el atacante solo tenía una de las cinco llaves del cliente para su multifirma, esos fondos no se pudieron gastar ".

Pero la moraleja de la historia, tal vez, es que el cliente estaba usando una solución de autenticación de dos factores (2FA) que implicaba hacer uso de la aplicación Google Authenticator en su teléfono inteligente, lo que significa que cualquiera que hubiera obtenido acceso a su teléfono podría acceder sus billeteras criptográficas que de otro modo estarían desprotegidas. La aplicación de Google no estaba protegida con contraseña: una vez que el atacante tuvo acceso a su teléfono, también tuvo acceso al autenticador. Varios exchanges de cifrado importantes utilizan soluciones 2FA como Google Authenticator para evitar el fraude.

En Twitter, el CEO de Casa, Nick Neuman, explicó :

“No se pudieron robar fondos de su cuenta de Casa, donde guardaba la mayoría de sus activos. Había configurado un multisig 3 de 5 distribuido correctamente, por lo que era imposible robar la mayor parte de sus bitcoins en este ataque ".

En países de Asia oriental como Japón, los casos similares también están aumentando, aunque muchos de ellos no involucran reuniones en persona, sino que se aprovechan de las prohibiciones de viaje relacionadas con el coronavirus .

A principios de este año, el Centro Nacional de Asuntos del Consumidor de Japón, un organismo de control del consumidor, dijo que el número de quejas que recibió de hombres que usan aplicaciones de citas internacionales se duplicó con creces el año pasado. Esta cifra se ha visto reforzada por una afluencia de mujeres "criptográficas" aparentemente basadas en otros lugares asiáticos que persuaden a los hombres para que muevan sus tokens y fiat a plataformas criptográficas de buena fe que luego resultan ser falsas.

Según los informes, un hombre fue engañado para que se separara de unos US$16.150 por una mujer de la que se había enamorado en una aplicación de citas, quien luego lo convenció de "unirse a ella" en una inversión en una plataforma de cifrado. Más tarde, la plataforma demostró ser una falsificación elaboradamente diseñada.