Privnotes.com está phishing Bitcoin de usuarios del servicio de mensajería privada Privnote.com – Krebs on Stability


Durante el año pasado, un sitio llamado Privnotes.com ha estado suplantando Privnote.com, un servicio legítimo y gratuito que ofrece mensajes privados y cifrados que se autodestruyen automáticamente después de leerlos. Hasta hace poco, no podía entender qué estaba haciendo Privnotes, pero hoy quedó claro: cualquier mensaje que contenga direcciones bitcoin se alterará automáticamente para incluir una dirección bitcoin diferente, siempre que las direcciones de Web del remitente y el receptor del mensaje no son lo mismo.

A principios de este año, KrebsOnSecurity escuchó a los propietarios de Privnote.com, quienes se quejaron de que alguien había creado un clon falso de su sitio que estaba engañando a bastantes usuarios regulares del servicio.

Y no es difícil ver por qué: Privnotes.com es confusamente similar en nombre y apariencia al real, y ocupa el segundo lugar en los resultados de búsqueda de Google para el término «privnote». Además, cualquier persona que escriba «privnotes» por mistake en la búsqueda de Google puede ver en la parte superior de los resultados un anuncio pago engañoso para «Privnote» que en realidad conduce a privnotes.com.

Una búsqueda en Google del término «privnotes» muestra un anuncio de pago engañoso para el sitio de phishing privnotes.com, que se encuentra arriba del sitio legítimo: privnote.com.

Privnote.com (el servicio legítimo) emplea tecnología que encripta todos los mensajes para que incluso Privnote mismo no puede leer el contenido del mensaje. Y no envía ni recibe mensajes. Crear un mensaje simplemente genera un enlace. Cuando se hace clic o se visita ese enlace, el servicio advierte que el mensaje desaparecerá para siempre después de leerlo.

Pero según los propietarios de Privnote.com, el sitio de phishing Privnotes.com no implementa completamente el cifrado y puede leer y / o modificar todos los mensajes enviados por los usuarios.

«Es muy very simple verificar que la nota en privnoteS se envíe sin cifrar en texto plano», explicó Privnote.com en un mensaje de febrero de 2020, respondiendo a las consultas de KrebsOnSecurity. «Además, no impone ningún tipo de clave de descifrado al abrir una nota y la clave después de # en la URL puede reemplazarse por caracteres arbitrarios y la nota aún se abrirá».

Pero esa no es la mitad. KrebsOnSecurity ha aprendido que el sitio de phishing Privnotes.com united states of america algún tipo de script automatizado que rastrea los mensajes en busca de direcciones de bitcoin y reemplaza cualquier dirección de bitcoin encontrada con su propia dirección de bitcoin. Aparentemente, el script solo modifica los mensajes si la nota se abre desde una dirección de Net diferente a la que compuso la dirección.

Aquí hay un ejemplo, usando la dirección de la billetera bitcoin de la página de Wikipedia de bitcoin como ejemplo. El siguiente mensaje fue redactado en Privnotes.com desde una computadora con una dirección de Net en Nueva York, con el mensaje, «por favor envíe dinero a bc1qar0srrr7xfkvy5l643lydnw9re59gtzzwf5mdq gracias»:

Un mensaje de prueba compuesto en privnotes.com, que es phishing de los usuarios del servicio legítimo de mensajes cifrados privnote.com. Presta especial atención a la dirección de bitcoin en este mensaje.

Cuando visité el enlace de Privnotes.com generado al hacer clic en el botón «crear nota» en la página anterior desde una computadora diferente con una dirección de Internet en California, este fue el resultado. Como puede ver, enumera una dirección de bitcoin diferente, aunque una con los mismos primeros cuatro caracteres iguales.

El mensaje alterado. Observe que la dirección de bitcoin se ha modificado y no es la misma dirección que se envió en la nota first.

Varias otras pruebas confirmaron que el script de modificación de bitcoin no parece cambiar el contenido del mensaje si las direcciones IP del remitente y del receptor son las mismas, o si uno compone varias notas con la misma dirección de bitcoin.

Allison Nixon, el experto en seguridad que me ayudó con esta prueba, dijo que el script también parece reemplazar la primera instancia de una dirección de bitcoin si se repite dentro de un mensaje, y el sitio deja de reemplazar una dirección de billetera si se envía repetidamente a través de múltiples mensajes.

“Y debido al diseño del sitio, el remitente no podrá ver el mensaje porque se autodestruye después de abrirlo, y el tipo de personas que usan privnote no son el tipo de personas que van a enviar ese bitcoin billetera de cualquier otra manera para fines de verificación «, dijo Nixon, quien es director de investigación en Unidad 221B. «Es una estafa bastante inteligente».

Dado que Privnotes.com está phishing a los usuarios de bitcoin, es una apuesta justa que el servicio falso también está desviando otros datos confidenciales de las personas que usan su sitio.

«Entonces, si hay volcados de contraseña en el mensaje, también podrían leer eso», dijo Nixon. “Al principio, pensé que ese period su ángulo completo, solo para extraer datos. Pero el reemplazo de la billetera bitcoin probablemente esté mucho más cerca de la motivación principal para ejecutar el sitio falso ”.

Incluso si nunca united states o planea usar el servicio de mensajes cifrados legítimo Privnote.com, esta estafa es un gran recordatorio de por qué vale la pena tener mucho cuidado al usar los motores de búsqueda para encontrar sitios que planea confiar con datos confidenciales. Un enfoque mucho mejor es marcar dichos sitios y confiar exclusivamente en ellos.


Etiquetas: Allison Nixon, privnote.com, privnotes.com, Device 221B

Esta entrada fue publicada el domingo 14 de junio de 2020 a las 12:01 a.m. y está archivada en Últimas advertencias.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puedes saltar hasta el ultimate y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia initial