Golpes usam Google Ads para roubar milhões em criptomoedas

A Check Point Research (CPR), uma divisão de inteligência em ameaças cibernéticas, divulgou um alerta especial em seu blog nesta quinta-feira (4), alertando usuários de carteiras de criptomoedas sobre um novo tipo de phishing que já conseguiu se apropriar de pelo menos meio milhão de dólares (R$ 2,7 milhões). O que impressiona é o vetor que tem sido utilizado pelos cibercriminosos: ao invés do tradicional email, os criminosos estão usando a pesquisa do Google.

Para iludir suas vítimas, os golpistas colocam aplicativos maliciosos com nomes parecidos com carteiras e plataformas de criptomoedas populares no Google Ads, e levam essas falsas wallets ao topo do mecanismo de busca do Google. Pensando estar em aplicativos reais, como Phantom App, MetaMask e Pancake Swap, diversas vítimas clicam no que pensam ser um site sério, mas que é, na verdade, um link malicioso.

Levadas a um site de phishing que em tudo se parece com o site original da carteira, inclusive marca e mensagens, as vítimas digitam as senhas de suas carteiras, preparando a armadilha para a captura de criptoativos. 

Como funciona o golpe no Google Ads?

Fonte: Google/Captura de tela

Os invasores adquirem um anúncio no Google Ads para divulgar um produto falso, mas com um nome que será objeto de busca por pessoas interessadas em carteiras digitais. Quando a pessoa pesquisa "phantom" no Google (veja exemplo acima), o mecanismo exibe o Phantom fake (notem a URL com "n" no final) acima do site real. 

Sem perceber, o usuário vai direto para o site de phishing, que é uma réplica do real, onde duas coisas podem acontecer. Ou o usuário informa suas credenciais, que é tudo que o invasor precisa, ou a vítima tenta criar uma nova carteira. Neste último caso, a pessoa é orientada a usar uma senha de recuperação que vai registrá-la em uma carteira controlada pelo invasor, que passará a receber todos os criptoativos que forem colocados ali.