Como o phishing é usado no roubo de NFT?

Como é o caso em quase todos os setores, quando um produto começa a ganhar valor significativo, torna-se um alvo para criminosos que buscam obter lucro. Isso é o que aconteceu na indústria NFT, já que algumas dessas obras de arte virtuais estão sendo vendidas por dezenas de milhões de dólares.

Os cibercriminosos estão desenvolvendo maneiras cada vez mais sofisticadas de roubar as vítimas de seus ativos, com um método particularmente popular sendo o phishing. Então, como exatamente o phishing é usado para roubar NFTs?

O que é phishing?

Antes de nos aprofundarmos em como o phishing é usado para recuperar NFTs ilegalmente, vamos ver rapidamente o que o phishing realmente é.

Você provavelmente já ouviu falar de phishing antes, pois é uma técnica incrivelmente popular usada para roubar todos os tipos de dados confidenciais. Nesse processo, os cibercriminosos usam e-mails, textos ou sites falsos para induzir os usuários a acreditar que estão interagindo com uma entidade oficial.

Por exemplo, um indivíduo mal-intencionado pode enviar às vítimas um e-mail "urgente" que se parece exatamente com o que seria

enviado por PayPal. O e-mail pode, por exemplo, indicar que houve alguma atividade incomum na conta do destinatário conta, e que eles precisam fazer login em sua conta para verificar se a atividade foi realizada por eles ou não.

Depois que a vítima clicar no link fornecido no e-mail e entrar em sua conta, ela terá inadvertidamente forneceu ao cibercriminoso suas informações de login, dando-lhe acesso aos seus fundos. Com toda a probabilidade, os fundos da vítima já terão desaparecido ou gastos quando perceberem o que aconteceu.

Como muitas pessoas não sabem o que procurar para evitar phishing, esse método de cibercrime pode ter uma boa taxa de sucesso. É por isso que agora está sendo usado para enganar as pessoas de seus preciosos NFTs. Então, vamos ver como exatamente o phishing é usado no roubo de NFT.

Como o phishing é usado para roubar NFTs?

Você pode pensar que a criptografia usada no processo de compra e armazenamento de NFTs torna todo o sistema super seguro. E, sim, certamente seria difícil para um cibercriminoso acessar suas NFTs sem alguns de seus dados confidenciais. Mas é por isso que o phishing é usado no processo de roubo.

Existem várias maneiras pelas quais os invasores online podem colocar as mãos em suas NFTs por meio de phishing, todas as quais você deve estar atento para manter seus ativos seguros.

1. Phishing pelo Discord

Nos últimos anos, o site de mídia social Discord tornou-se uma opção popular para entusiastas de criptografia e NFT que desejam se conectar uns com os outros e com os artistas ou desenvolvedores que amam. Mas os cibercriminosos estão muito conscientes disso e, portanto, use o Discord para segmentar usuários desconhecidos.

Brindes falsos de NFT são um método de phishing particularmente popular no Discord, em que os golpistas personificar artistas da NFT e convencer os usuários a divulgar certas informações para que possam entrar no doar. Esses golpes de phishing de doação geralmente exigem que você insira sua chave privada ou frase inicial para entrar.

No entanto, nenhum golpe de doação legítimo jamais pediria a você esses dois dados confidenciais. Portanto, se você for solicitado a fornecer sua frase inicial ou chave privada para participar de um sorteio, afaste-se imediatamente. Não há razão para que sua chave privada seja necessária para receber qualquer tipo de ativo; portanto, se você for solicitado, certamente estará à beira de ser enganado.

2. Phishing por e-mail

Os cibercriminosos geralmente confiam em e-mails para induzir os usuários a divulgar informações confidenciais. Muitas pessoas deram detalhes de suas contas bancárias, informações de login e até mesmo números de segurança social por meio desses golpes, e agora, os proprietários de NFT estão sendo alvos.

Portanto, se você receber um e-mail de um suposto artista da NFT, desenvolvedor de projeto ou empresa, saiba que pode ser uma farsa. Esses e-mails podem conter links para lançamentos de NFT, sites de brindes ou similares, e provavelmente solicitarão que você forneça sua frase inicial ou chave privada.

Alternativamente, esses e-mails podem vir na forma de uma notificação de um mercado, alertando um proprietário de NFT de que alguém supostamente comprou ou fez uma oferta em um NFT eles estão vendendo. Os usuários serão solicitados a clicar no link fornecido e fazer login em sua conta do mercado. Se o fizerem, o golpista poderá acessar sua conta e as NFTs que estão vendendo lá.

Isso aconteceu em março de 2022. Os cibercriminosos personificaram o Opensea, um popular mercado NFT, e enviaram e-mails aos usuários para acessar suas informações de login. Vários indivíduos foram vítimas desse golpe e, infelizmente, centenas de NFTs foram perdidos como resultado.

É por isso que é importante que você não clique nos links fornecidos por um suposto mercado em um e-mail. Se você foi notificado de que sua NFT foi vendida ou uma oferta foi feita, vá diretamente ao mercado e faça login lá. Então, você pode ver se realmente houve alguma atividade associada a um ativo que você está vendendo.

3. Phishing pelo Instagram

Muitos artistas da NFT usam o Instagram para promover novos trabalhos, discutir desenvolvimentos e conectar-se com seus fãs. Mas isso deu lugar a contas de imitadores, através do qual vítimas inocentes são enganadas por meio de golpes de phishing.

Os golpistas geralmente realizam esse tipo de fraude enviando mensagens para usuários que seguem o artista ou projeto que estão representando, ou usuários que claramente têm interesse em NFTs em geral. Eles informarão ao usuário que ganharam um sorteio e fornecerão um link para o site onde eles podem reivindicar seu prêmio.

Obviamente, não há prêmio real, e o link é fornecido apenas para que os usuários forneçam ao golpista as informações necessárias para acessar uma conta ou carteira de sua propriedade. Nesse ponto, provavelmente já é tarde demais para a vítima.

Mas as contas de representação não são onde as coisas terminam em termos de golpes NFT do Instagram. Criminosos mais avançados podem hackear contas oficiais e atingir indivíduos de lá. Essa camada de autenticidade aparente dá aos golpistas uma chance ainda maior de enganar os usuários.

4. Phishing pelo Twitter

Assim como o Instagram, muitos artistas e projetos da NFT ganham muitos seguidores no Twitter de fãs e entusiastas interessados ​​em seu trabalho. E isso apenas fornece outra maneira para os cibercriminosos explorarem os usuários.

Os golpes de phishing NFT no Twitter funcionam da mesma maneira que no Instagram, com criminosos visando vítimas por meio de contas de imitadores ou hackeando contas oficiais e partindo daí. Os golpistas também podem postar links de phishing publicamente de contas oficiais falsas ou comprometidas para atrair ainda mais vítimas.

Devido a esse risco, você precisa ser cauteloso sempre que encontrar qualquer tipo de link de oferta NFT. Novamente, se você for solicitado a fornecer qualquer tipo de informação sensível para entrar em um sorteio, fique atento. Não há razão para que sua frase inicial, senha de login ou chave privada sejam necessárias em um sorteio.

Você também pode usar sites de verificação de links para verificar se um link é legítimo ou não antes de clicar nele.

O cenário NFT está repleto de golpistas

Com as NFTs alcançando preços incríveis, não é surpresa que os cibercriminosos estejam fazendo todo o possível para tirar proveito desse mercado em expansão. Portanto, se você possui algum tipo de NFT, lembre-se de que nunca deve fornecer suas informações confidenciais, pois isso pode ser usado para roubar seus ativos valiosos de forma rápida e irreversível.

Pior que phishing: o que é um ataque cibernético à baleia?

Leia a seguir

Sobre o autor