La web de mensajería privnote.com ha sufrido un duplicado de su web con intenciones maliciosas. Los creadores pretendían modificar toda la información relacionada con Bitcoin para que los usuarios enviasen tokens a sus direcciones.
El pasado 14 de junio el sitio web KrebsOnSecurity, dedicados a ofrecer información acerca de estafas en la web y contenido relacionado a prevenir ransomware, informó que durante el año pasado PrivnoteS.com se estaba haciendo pasar por el sitio web legítimo Privnote.com.
Privnote.com es una plataforma de mensajería legítima y gratuita que da la posibilidad de mandar mensajes privados y encriptados que se autodestruyen automáticamente después de ser leídos. PrivnoteS.com ha buscado un dominio casi identico y presentaba una interfaz igual a la del sitio legítimo con la intención de hacer creer a los usuarios que se encontraban en el sitio original.
Debido a la naturaleza privada y la «seguridad» que ofrece el sitio, muchos usuarios envían mensajes «delicados» con la intención de que estos solo sean leídos unicamente una vez, para mantener la máxima privacidad posible. Entre estos mensajes son propensos las direcciones de carteras y esto es lo que quisieron aprovechar los estafadores.
La estafa detrás de PrivnoteS.com
Los propios creadores de Privnote.com se pusieron en contacto con KrebsOnSecurity debido a que un sitio web muy similar al suyo estaba apareciendo en el segundo lugar en las búsquedas en Google en el momento de buscar «privnote.com». Por esto, se comenzó a indagar con que fin estaban tratando de suplantar la identidad del sitio. Tras meses de investigación se ha llegado a la conclusión de que el sitio presenta una estafa conocida como «phishing» a los usuarios que la visitan.
Los estafadores utilizaban un script para buscar en los mensajes las direcciones correspondiente a una cartera de Bitcoin. Una vez localizados el mensaje que albergaban una dirección, se alteraba para cambiar dicha dirección por una propia de los estafadores, de este modo la segunda persona recibiese una dirección diferente.
«Cualquier mensaje que contenga direcciones Bitcoin será automáticamente alterado para incluir una dirección Bitcoin diferente. Siempre y cuando las direcciones de Internet del remitente y el receptor del mensaje no sean las mismas.»
Google permitió publicitar su estafa
El sitio web no solo trataba de embaucar a su usuarios, si no que no aplicaba ningún tipo de cifrado y se desconoce si borraban los mensajes tras ser entregados. Esto permitía a los estafadores modificar a su parecer cualquier mensaje.
Uno de los factores que hizo que el sitio consiguiese una mayor afluencia, fueron los anuncios que los estafadores consiguieron publicar en Google Ads, la plataforma publicitaria de Google. Estos colocan el sitio web como destacado en el momento de realizar determinadas búsquedas. En concreto si se buscaba «privnotes» el usuario veía de primero el sitio falso y tras este el legítimo.
Es realmente preocupante como el sistema de Google no detecta este tipo de sitios como una estafa. Estos anuncios han sido utilizados ya con anterioridad para publicitar otras estafas, la más reciente fue la conocida con el exchange CoinCorner.
Por otro lado, Google también ha permitido a los estafadores publicar sus extensiones en su plataforma de Google Chorme. Recientemente hasta 20 de ellas finalmente fueron eliminadas de la Store pero muchas de ellas se mantuvieron activas durante meses.