Topic: Google y Twitter publicitan webs de phishing, con casi 60M $ drenados en cripto (Read 260 times)

Yo no soy una persona que sea hábil en el uso de billeteras Web3, si quiera he tenido mucha interacción con muchos contratos inteligentes a lo largo de mi historia con las monedas decentralizadas, pero eso de conceder permisos a una aplicación, sin saber realmente que se está haciendo me parece una locura. De hecho, solo el que exista la posibilidad de otorgar permisos para el uso de la clave privada es como una clase de aberración para sistemas que se deben tratar del control del usuario sobre sus activos y nadie más. Nose si tú comparrtirias esa misma opinión.
Lo peor es que obviamente nadie se paró a pensar sobre la legitimidad del Airdrop por el simple hecho de tratarse de Microstrategy, una verdadera pena. Ya veremos si results ser que las compañias que se enfocan el Bitcoin y otras monedas alternativas (así como en la seguridad informática) tienen una tendencia inexplicable a ignorar el uso de la autentificación de dos factores o si esto se trató de poner a una persona inadecuada como community manager y salir perdiendo en un juego de ingeniería social.

Yo pensé que luego del antecedente masivo de hace un par de años la gente aprendería a desconfiar incluso de las cuenta oficiales, cuando se trata de dinero gratis, pero parece que me he equivocado.

Metemask o cualquiera que sea la billetera de moda en la aplicaciones de la Web número 3, tiene que remover de forma inmediata el conceder permisos sobre la autonomía de la clave privada y las firmas criptohraficas, que los usuarios no sean perezosos y revisen las salidas/firmas de una en una. 

… y eso cuando no es una de las cuentas de peso en la red de Twitter la que es hackeada, y empleada para promover algún tipo de scam del estilo de 2x1, o la nueva moda de drenar los monederos a través de falsos airdrops.

El último en sucumbir a esta última categoría ha sido Microstrategy, cuya cuenta en Twitter ha sido hackeada para publicar un supuesto airdrop que no era tal, y que redirigía a las personas a una página web de "microstralegy" (no es el dominio real) para luego pedir permisos en sus billeteras web3 con el fin de recibir el airdrop. Al dar los permisos, drenaban las billeteras de los usuarios, totalizando que se sepa 440K $ en criptomonedas.

Ver:
https://www.diariobitcoin.com/seguridad/hackers-se-apoderan-de-la-cuenta-de-x-de-microstrategy-para-promover-falso-airdrop/

Es algo que también suponía se convertirá en un nuevo foco potencial de anuncios falsos. Visto que ya tenemos los primeros anuncios legítimos circulando, supongo que sólo es cuestión de tiempo ver la aparición de anuncios falsos, y los inicios de puesta en marcha de estos productos parecen ser momentos propicios para ello. Quizás haya algo más de vigilancia por parte de Google al haberlos autorizado y cambiado sus términos y condiciones para ello, pero aun así.

Bueno, sabía que esta clase de cosas eran solo cuestión de tiempo cuando las herramientas estuviesen al alcance de cualquiera que tuviese las malas intenciones, por lo menos se está haciendo eco de este tipo de estafas a la ciudadanía.
Eso es lo peligroso de esta época, que llegara un punto en que no podremos estar seguro de si lo que vemos en la televisión o en el internet es real.

Si me lo preguntas a mi, creo que esto sería un buen momento no solo para educar a las personas de losndeep fakes, sino también para incentivar a las organizaciones y a las personas influyentes a utilizar criptografía asimétrica para firmar cualquier mensaje público que quieran dar, en forma de video o texto. Y educar a las personas de no fijarse de nada si no pueden comprobar la integridad de lo que ven con una firma (quizá en forma de código QR).

Lo triste es que antes de que eso pase, muchas personas perderán su dinero y tristemente se arruinaran vidas.

Y con esto? Las que se vendran, si  bien logicamente las grandes deben poner mucho mas dinero y permanecer arriba de todo, pero...... hecha la ley hecha la trampa, si se llega a colar alguno puede hacer un chiquero, no precisamente en crypto pero si referido a.

Utilizan una técnica llamada "deep fake" con la cual simulan la voz del candidato o del empresario y en el video hacen "Lip-sync" o en español sería sincronización labial. Incluso ha sido reportado y explicado por los noticieros locales como se puede ver en el siguiente video:

https://www.youtube.com/watch?v=s_GqUQDp79s

Y esta es otra por parte de Pemex (Petroleos Mexicanos):
https://www.youtube.com/watch?v=in9sjvnrWaQ


Y esta fue una de las más populares, haciendo deep fake con el Empresario numero 1 en méxico, llamado Carlos Slim:
https://www.youtube.com/watch?v=nfbPVFPtrSU

La tecnología está sobrepasando a las personas y a los gobiernos muy rápidamente, si te pones a pensar hay muchas maneras de usar esa tecnología para perpetrar toda clase de crímenes, y esto es tan solo el inicio, ahora habrá quien piense que esto se puede detener con regulaciones, pero no creo que sea posible, los algoritmos de la IA son fácilmente accesibles y aparecen en cualquier libro de programación sobre ese tema.

Y aunque es de esperar que los propios gobiernos y compañías privadas tengan versiones mas avanzadas o que tengan alterados ciertos parámetros para una mejor funcionalidad para cierto tipo de tareas, las dos mas grandes limitantes para la IA eran tener suficientes datos para entrenarla y computadoras lo suficientemente potentes para correr los algoritmos, dos problemáticas que para fines prácticos están resueltas, así que incluso si los algoritmos no mejorasen, como estas dos variables lo harán entonces la potencia de la IA lo hará también, así que las personas no tienen demasiadas opciones mas que ser mucho más escépticas de todo lo que ven y leen en línea.

Algo que será difícil para muchos, dado que por naturaleza los humanos somos bastante crédulos y simplemente aceptamos al mundo como pareciere ser, un lujo que al parecer ya no podemos darnos.

Tengo curiosidad. Cuando dices que los anuncios son creados con ayuda de Inteligencia artificial, ¿A qué te refieres exactamente?
¿Videos falsos de los candidatos hablando de la supuesta inversión? ¿Imágenes de los candidatos utilizando parafernalia de las compañias detrás de la inversión?
¿O quizás utilizan la inteligencia artificial para emular la voz de los candidatos y usarlas en el vídeo con una imagen estática?

Dejando a un lado las preguntas, si, ciertamente es una gran sensación de impotencia e indignación hasta que nivel está nueva tecnología está siendo abusada para sacar provecho de las personas que no están si quiera informadas del esfuerzo y los detalles a los que están dispuestos a llegar los estafadores, en si, una persona debería de alejarse con las típicas red flags del porcentaje y el hecho de utilizar activos con lo que no están familiarizados (como Bitcoin), pero la realidad sigue desafiando mi lógica personal y veo como se perpetúan en número de víctimas del ponzi sin sazón de toda la vida...

En México tenemos elecciones este año, y los hackers estan abusando de esto para estafar gente a traves de redes sociales con la ayuda de nteligencia artificial. Ya van varios anuncios que veos con los candidatos electorales en los que te invitan a invertir es negocios con grandes rendimientos, pero son anuncios creeados con inteligencia artificial. Y no deja de dar rabia e impotencia el echo de que las redes permitan estas estafas.

Esperemos no ver una nueva ola de anuncios falsos a lomos de los ETFs. Google parece que se va a abrir a permitir la publicidad de ETFs de bitcoin desde mañana (por confirmar la rumorología), y aunque la cantidad de ETFs aprobadas es por ahora pequeña, y por ende uno podría espera que su publicidad fuese fácilmente controlable, entiendo que habrá entidades dedicadas al negocio de la venta indirecta de estos productos (a modo de intermediarios), y allí es donde uno podría ver mayor facilidad de colar timos camuflados de intermediarios.

Ver:
https://es.cointelegraph.com/news/bitcoin-etf-ads-google-crypto-community

Creo que va más allá de la codicia corporativa o de la aparente codicia corporativa que podría tener una empresa tan granda como Google o Twitter y que asicamente viven sea anuncios. Para poder dar un veredicto fiable de si un servicio de ceiotoactivos, la inteligencia artificial tendría que tener la capacidad de poder probar el servicio, eso implicaría darte el poder de no solo interpretar texto que describa ofertas engañosas, sino también el poder manejar una billetera de Bitcoin u otros criotoactivos, con la finalidad de ver cómo es la interacción de la wallet con el supuesto servicio que se quiere promocionar.

Una cosas es utilizar AI para generar imágenes o hacer búsquedas en la web, darle la capacidad a una de manejar fondos e interactuar con supuestas Dapps en un recendente que quizá no se les ocurra hacer. Aunado a eso, no se sienten en la necesidad de contratar un analista humano, este tipo de campañas han de ser una fracción pequeña de las ofertas publicitarias que perciben.

Es que sacando cosas gruesas faciles de detectar o que ya directamente burdamente apuntan a estafar no hay mucho que se pueda hacer, mas que el propio usuario estar medianamente atento.

Porque creo ya haberlo dicho en otras oportunidades, pero si uno monta un negocio bastante bien armado y despues al año pega el tiron del cable y se fuga con todos los datos, medio como que no había forma previa de saber que alguien iba a hacer esto.


Respecto a la alusión al foro creo que la gran diferencia radica en que Google es una empresa hecha y derecha gigante, con un buffet de abogados o equipo de legales que estan todo el dia siguiendo casos, en el caso del foro es mas una iniciativa propia de querer ahorrase un enorme posible dolor de cabeza.

Y así diría que sucede, en gran medida, para detectar anuncios con ciertos patrones que pueden ser marcados como sospechosos de ser fraudulentos, además de los reportes que puedan generar los usuarios que, entiendo, son tratado por operadores apoyados en sus herramientas.

En el caso de Google, ellos indican que:
Ver: https://www.google.com/ads/adtrafficquality/

Seguro que se puede hacer bastante más, pero a su vez diría que hay una cantidad importante de casuísticas con distintos niveles de profundidad, que no creo que la IA pueda escrutar del todo todavía por sí misma.

Creo qie una AI podría sustituir a los moderadores humanos, dejar que la AI revise los anuncion y bloqué los que son estafa es algo que se podría hacer hoy en día. Pero desafortunadamente eso representaría pérdidas para la empresa así que es una situación dificil para ello, mientras puedan seguir fingiendo demencia (aqui no pasa nada) ellos seguiran haceptando el dinero de las estafas.

Aunque fuese así no obstante, si los reguladores y las autoridades lo quieren, la renuncia a la responsabilidad caería en saco vacío. Entiendo que no es fácil poner una plataforma de publicidad y controlar que toda la que se emite en la misma sea benigna, sobretodo en entornos tan dinámicos y despersonalizados en la contratación como son las redes sociales. Siempre habrá huecos por donde colarse; la cuestión es minimizar estos huecos.

Es como el caso de Bitcointalk, donde se indica, no sé bien bien con qué grado de formalismo, que las estafas no son reguladas por el foro, y se deja a los usuario intentar hacer esta labor. Aun así, el foro ha publicitado (ads) y permitido publicitar (firmas) decenas sino centerares de ICOs en su momento que resultaron ser timos en un grado u otro. Yo creo que a pesar de enunciar que el foro no se inmiscuye en estafas, es un punto donde le podrían haber buscado las cosquillas.

Curioso que hablemos de este tipo de esquemss malignos para frenar billeteras, porque en las últimas semanas he notado que mientras utilizo Twitter para estar al día con los acontecimientos políticos en Israel y en Estados Unidos, veo como se cuelan entre los tweets publicidad sobre airdrops y aplicaciones decentralizadas que es obvio que prometen más que lo que pueden dar.

El peligro radica en dos puntos de fallo principales en cuanto a los proveedores de publicidad dirigida: no les interesa hacer filtros sobre lo que promocionan y además el uso de este tipo de publicidad dirigida puede potenciar de forma muy grande la efectividad de las estafas o la difusion de software de drenado de billeteras, porque en la mayoría de los casos, el algoritmo de Google y Twitter pone el mensaje de los scammers justo en la cara de personas que efectivamente están interesadas en Bitcoin y en las criptomomedas en general. A diferencia de una difusión ciega, así es mal peligroso para todos nosotros.

Creo que dentro del infinito contrato de Google y Twitter que nadie lee, seguramente hay uns cláusula sobre la renuncia de la responsabilidad de los productos anunciados, así que eso de demandar a los proveedores/facilitadores de anuncios va a estar dificil.

No recuerdo haber visto datos concretos sobre costes y ROI de estas acciones, pero sí que existe una gama de malware promocionado a modo de malware as a service, reduciendo así tremendamente la necesitad de los malhechores en tener una elevada capacidad técnica.

En el reciente caso de Ledger se cita el uso de Anger Drainer (que en un SaaS). En esta entrada en Medium dan alguna pincelada de los costes. Hablan de que piden una comisión del 20% de lo recaudado mediante su software. También hablan de un depósito de algún tipo, pero no acabo de entender la explicación al respecto. Como este software, recuerdo haber visto información de varios SaaS malware en el pasado. Facilitando las cosas como buenos samaritanos (comisionistas) …

Creo que esto va mas allá de Google y Twitter, Todas las redes sociales son campo minado hoy en día, Las estafa está presentes en Instagram, WhatsApp, Telegram, y esa dark web conocida como Facebook.

Creo que no hay lugar seguro en la web, y el echo de que las redes sociales estén dispuestas a poner cualquier anuncio por unos dolares es algo decadente. No, dudo que esto se empezará a regular próximamente, las redes sociales deberían responder a las víctimas de estafas por publicidad engañosa.

Un dato interesante que no he podido encontrar es, ¿Cuanto dinero gastan los estafadores en campañas para sus páginas web? Si es un negocio que deja $59M al año cuanto de eso es invertido para conseguir nuevas víctimas?

Dado que los borradores iniciales parecían casi apuntar a que el término vinculado al tipo de servicio del que hablamos iba a estar prácticamente proscrito, y para garantizar no hacer ningún tipo de publicidad al respecto ni de refilón, creo que adaptamos el apelativo por aquí como algo con cierta ironía (sino porque adicionalmente podría llegar a ser preciso).

El origen en sí, por lo menos en mi primer uso del término, se deriva de una imagen gráfica de cierto servicio del ramo publicitado en el foro que, siendo cutrilla en esencia, se quedaba grabada por asemejarse a una batidora de frutas.

En lo tocante al foro en sí, de entre las hipótesis que he leído, figura de que las autoridades persiguen el dinero de los hackers norcoreanos, y al usar batidoras de frutas para camuflar "sus" fondos (robados, extorsionados), parece focalizar más el ataque de las autoridades hacia todo lo que huela a este servicio. Mi hipótesis es que, a pesar de negarlo, hubo contactos en la tercera fase entre las autoridades y el Admin, y con poca presión se lograron resultados inesperados.

Si ellos no tienen problemas legales por eso no veo por que el foro valla a tenerlos con los mixers.... por cierto por que decirles batidoras de frutas?