Chivo Wallet - campaña de phishing en curso

[DdmrDdmr]

No podía faltar que hubiese una campaña de phishing dirigida a los usuarios de la Chivo Wallet, y así es. Hay una campaña en curso donde, con tintes visuales oficiales, se les indica a los usuarios que (falsamente) recibirán 50$ por cumplimentar una encuesta acerca de la Chivo Wallet. La campaña parece estar propagándose a través de las redes sociales:

Logré dar con lo que entiendo que es el site a donde te lleva la campaña (https[colon]//chivo2022prima[dot]com), donde la información que recopila del usuario es la siguiente:

Nombre
¿Te emocionaste al usar la Chivo Wallet?
¿Cuál es tu saldo actual en la Chivo Wallet? (Menos de 10$ .. más de 300$)
¿Qué posibilidades hay de que recomiendes Chivo Wallet a tus amigos?
¿Aprueba el uso de Bitcoin?
Escribe tu opinión y recomendaciones. Es muy importante.
Ingrese el número de teléfono de su Chivo Wallet
Confirme el recibo de $50 con su código PIN de seguridad
Confirme el recibo de $50 con su DUI
Confirme el recibo de $50 con su código SMS (se supone que recibirás uno, aunque con un segundo intento aleatorio que pongas ya sirve para pasar de pantalla).

El gobierno ya ha tenido que salir al paso, y desmentir la promoción. Por lo que veo, la site de phishing lleva activa cuanto menos un mes (viendo los archivos en TheWayBackMachine), y el dominio lleva vivo un par de días más.

ver:
https://www.presidencia.gob.sv/gobierno-advierte-a-la-ciudadania-de-posibles-estafas-con-sitios-que-simulan-ser-parte-de-chivo-wallet/
https://www-elsalvador-com.translate.goog/noticias/negocios/chivo-wallet-empresa/926973/2022/?_x_tr_sl=auto&_x_tr_tl=en&_x_tr_hl=es&_x_tr_pto=wapp
https://whois.domaintools.com/chivo2022prima[dot]com
https://web.archive.org/web/20220116162852/https[colon]//chivo2022prima[dot]com/

[1715118988]

1715118988

[1715118988]

1715118988

[1715118988]

1715118988

[famososMuertos]

Y bueno! en momentos donde lo viral priva sobre la razón, la mayoría no entiende de precaución si no del llamado a recibir la bondad del prójimo.

Se quedaron dormidos casi tres meses con su cuenta oficial como lo mencionamos por ahì en el hilo ChivoWallet es y fue inaudito que tal cosa sucediera dando a pie no solo a esta si no varias incluso ofreciendo soporte, y esto no para,  va seguir creciendo parece que el equipo de Chivo Wallet no incluyo experto en seguridad en ingeniería social.

[Hispo]

Solo era cuestión de tiempo, lamentablemente.
Aunque, supongo que, de tratarse de una billetera ofrecida por el gobierno, no debería ser my difícil restrear las cuentas o wallets asociadas a los scammers, a menos que, por ejemplo, permitan transferencias a wallets externas, de todas formas de ser el caso necesitarían el visto bueno de los administradores de la app.

Este es uno de esos casos en los que las personas pueden caer por desconocimiento o por olvidar que Bitcoin y otros activos digitales se tratan de dinero y no solo tokens que ofrece el gobierno como bono económico, creo que si las personas se mentalizaran un poco con la idea de que Bitcoin = dinero, sería un poco más difícil estafar a los usuarios más novatos, solo un poco.

Por cierto, por lo que veo, la publicación del fraude se hace eco gracias a la publicidad pagada de Facebook, como siempre, la moderación de las redes sociales haciendo un flaco favor a la comunidad criptográfica y a las victimas potenciales...

[DdmrDdmr]

He buscado algo más al respecto, y veo que no tienen una sola web en uso para esta campaña de phising, sino cuatro idénticas:

http[colon]//chivobono[dot]com (whois -> 12/02/2022)
https[colon]//www[dot]chivo2022prima[dot]com (whois -> 11/01/2022)
http[colon]//www[dot]encuesta2022chivo[dot]com (whois -> 29/01/2022)
http[colon]//www[dot]chivo2022bono[dot]com (whois -> 08/02/2022)

Divide y vencerás … Lo que si denota es que están ampliando la campaña, incluyendo sites nuevos recientes con la misma finalidad.

Sólo se han molestado en poner un certificado SSL en la más antigua. Ya sabemos que no es indicativo de confianza en el site, y supongo que habrán optado por ahorrar.

[Hispo]

He buscado algo más al respecto, y veo que no tienen una sola web en uso para esta campaña de phising, sino cuatro idénticas:

http[colon]//chivobono[dot]com (whois -> 12/02/2022)
https[colon]//www[dot]chivo2022prima[dot]com (whois -> 11/01/2022)
http[colon]//www[dot]encuesta2022chivo[dot]com (whois -> 29/01/2022)
http[colon]//www[dot]chivo2022bono[dot]com (whois -> 08/02/2022)

Divide y vencerás … Lo que si denota es que están ampliando la campaña, incluyendo sites nuevos recientes con la misma finalidad.

Sólo se han molestado en poner un certificado SSL en la más antigua. Ya sabemos que no es indicativo de confianza en el site, y supongo que habrán optado por ahorrar.

Bueno, eso aunado a la publicidad que ha de estar pagando para que aparezca su estafa de forma promocionada en Facebook ha de ser evidencia suficiente de que esto se trata de una operación planeada con antelación y no solo algo que se le ocurrio a un par de personas una tarde.  

Solo me pregunto que tan flexible sería el manejo de la billetera Chivo para que hayan decidido tomar como blanco a los usuarios de esta plataforma en lugar de personas con billeteras non-custodial.

Asumo que están apostando por la cantidad de usuarios dentro de su espectro de víctimas potenciales.

[DdmrDdmr]

Aquí hay un aspecto que me tiene mosca: resulta que, por lo que he llegado a ver en su momento, y he vuelto a repasar ahora, cuando intentas loguinearte en tu Chivo Wallet se indica que el sistema te enviará un código de verificación al número de teléfono que proporciones para poder acceder a la cuenta. No hablo del registro, sino ya del acceso. Es decir, hay un 2FA por sms, que aun no siendo algo para tirar cohetes, es un paso del proceso preciso para acceder a la wallet.

Los datos recabados mediante la campaña de phising por tanto, por sí solos, no deberían dar acceso a la cuenta de las persona a los timadores. Falta algo más. Mi teoría sería que priorizan las cuentas por rango de importes declarados en la encuesta, y luego hacer una de dos:

-   O bien un sim swapping.
 
-   O bien tienen contacto con alguien con la capacidad de cambiar el celular asociado a una cuenta.

Ninguno es trivial (si factible), y requieren tener algún contacto más en el entramado bien en tiendas de telefonía, bien en la gestión del sistema Chivo. No he visto reportes al respecto todavía.

La otra opción es que se pueda acceder sin el 2fa con el número móvil, pero en la wallet parece que pide el número sí o sí.

[LUCKMCFLY]

Bueno creo que todo esto del phisihing y todo lo que tiene que ver con las estafas será una nueva etapa para los Salvadoreños, sin embargo es deber del gobierno dar garantías y soporte para  todos y así eviten caer en estafas, por supuesto hacer campañas de concientización para que las personas tomen más conocimeinto, que no den sus llaves privadasy que no suministren datos a llamadas telefónicas, creo que todas estas cosas deben hacerselas saber a todo ciudadano de El Salvador.

También de advertirles que se mantengan alejados de todo tipo de esquemas piramidales, porque todas estas cosas se ponen de moda aprovechando la ignorancia de muchos acerca de la economía y la tecnología.

[DdmrDdmr]

Lo bueno es que las cuatro sites de phishing, que citaba en posts anteriores, ya no están operativas. Lo malo es que la campaña ha mutado un tanto, y ahora en lugar de utilizar como gancho 50$, utilizan ni más ni menos que un 25% de saldo adicional garantizado…: http[colon]//www[dot]commercio2022bonochivo[dot]com

La encuesta es prácticamente la misma, pero ahora pide además conocer tu saldo actual exacto, a fin de mostrarte cómo quedará tras recibir el bono del 25% adicional.

http[colon]//www[dot]commercio2022bonochivo[dot]com

La encuesta se despide con:

¡Gracias!
¡Espere ser acreditado en su cuenta 24 horas!

Querrá decir desplumado …

[Hispo]

-snip-