La compañía de billeteras hardware Trezor, fabricante de Trezor One y Trezor T, advirtió a sus usuarios de una campaña de Phising (adquirir información confidencial de forma fraudulenta) después de descubrir un clon de su página puente que engañaba a los usuarios para que ingresaran su información personal sin darse cuenta que la pagina no era legitima.

La compañía advirtió a sus usuarios primero en Twitter sobre la estafa, recomendando que “siempre chequee una conexión de https valida”, eso significa ver en la barra de dirección un candando verde con la palabra “es seguro” ya que es un protocolo de seguridad en donde los datos viajan entre el servidor y el usuario de forma encriptada y que “verifiquen todas las acciones de Trezor en la pantalla del dispositivo”, no en la pantalla del computador.

Horas más tarde, la compañía detallo con un post en su blog, como ocurrieron los ataques y cuáles fueron las señales que alertaron a su equipo de soporte. El blog relata que algunos usuarios se pusieron en contacto con la compañía para consultar sobre certificados de seguridad inválidos en la página, lo que hizo que empezaran a saltar las alarmas.

Luego de acceder a la web, la página falsa mostraba una alerta pidiendo restaurar la semilla de recuperación (pin de seguridad único para cada dispositivo Trezor) debido a una falla en la memoria. Seguidamente la página forzaba al usuario a ingresar el resto de la información que necesitaba para poder acceder a su cartera.

Al traer a acotación estos factores sospechosos, Trezor reitero sus advertencias públicas a “Nunca ingresar la semilla de recuperación en una computadora” para ninguno de los modelos de billeteras adicional a asegurarse que está ingresando a la dirección correcta (wallet.trezor.io) y a buscar el certificado de seguridad (candado verde) en la barra de dirección. Si algunas de las medidas de seguridad no aparecen, debe ser tratado como intento potencial de robo o fraude.

A pesar de que Trezor asegura a sus usuarios que la pagina falsa en cuestión a sido retirada por su proveedor de hosting la compañía pide continuar reportando todas las situaciones sospechosas debido a que este tipo de ataques pueden volver a surgir en un futuro ya que desafortunadamente existen informes de usuarios que vieron sus activos extraídos por los estafadores.