O recente aumento do preço e popularidade das criptomoedas «não atraiu só potenciais utilizadores; inspirou também cibercriminosos a encontrar novas e criativas maneiras de roubar as moedas virtuais». Estes esquemas afectam os computadores e a plataforma Android.
As bolsas de criptomoedas são alvos atractivos para os criminosos não só devido à sua popularidade, mas também porque muitas delas não oferecem apps para smartphones, tornando mais fácil criar apps maliciosas que se fazem passar por software legítimo. Tipicamente, o objectivo destas apps falsas é obter os credenciais de login da bolsa oficial.
Os atacantes usam depois as credenciais roubadas para controlar as contas comprometidas. De forma a levantar o mínimo de suspeitas, os criminosos copiam o nome, ícones e interface de utilizador dos serviços legítimos.
Existem esquemas semelhantes para carteiras de criptomoedas, mas, em vez de passwords, os atacantes tentam roubar directamente as chaves privadas e frases de carteiras de criptomoedas.
Na prática, isto significa «que os utilizadores de carteiras de criptomoedas têm ainda mais a perder, uma vez que enquanto uma password roubada para uma bolsa de criptomoedas pode ser redefinida com a ajuda da bolsa, no caso de uma carteira é a chave privada que é comprometida, e, portanto, não há nenhum intermediário que possa ajudar».
Além deste tipo de esquemas, existem também carteiras falsas que tentam fazer com que as vítimas transfiram criptomoedas para as carteiras dos criminosos.
Estas carteiras falsas fingem que geram uma chave pública para uma nova carteira e pedem aos utilizadores que enviem as suas criptomoedas para o endereço. Se os utilizadores assim o fizerem, rapidamente se aperceberão que as criptomoedas enviadas desapareceram.
Uma outra categoria de esquemas para Android consiste em apps que fingem minerar criptomoedas para o utilizador, mas na verdade não fazem nada para além de mostrar anúncios. Alguns deste mineradores falsos tentam também levar os utilizadores a darem-lhes uma classificação de 5 estrelas.
A ESET recomenda tratar bolsas e carteiras de criptomoedas com o mesmo nível de cuidado com que se tratam apps bancárias convencionais e, de existir essa opção, usar autenticação de dois factores para proteger a conta da bolsa ou carteira com uma camada extra de segurança.
Ao fazer download de uma app para uma bolsa ou carteira de criptomoedas, certificar-se que o serviço oferece realmente uma app móvel. A app oficial deverá estar listada no website oficial do serviço;
Via ESET.