En las últimas semanas hablamos de las novedades principales presentadas en la Crypto Week por parte de Cloudflare. Entre ellas se encontraba la de la puerta de enlace IPFS que permite a los usuarios acceder al contenido almacenado en el sistema de archivos distribuido de IPFS a través de un navegador web. El problema llega cuando los ciberdelincuentes logran utilizar esta puerta de enlace para llevar a cabo un ataque phishing con el objetivo de hacerse con las credenciales de los usuarios.

Un nuevo ataque de phishing se distribuye a través de Cloudflare

Como sabemos, el phishing es una de las amenazas más presentes hoy en día. Es uno de los problemas cibernéticos a los que nos tenemos que enfrentar diariamente. Afecta tanto a usuarios de equipos de escritorio como, cada vez más, a usuarios de dispositivos móviles.

Como parte de esta implementación de Cloudflare, todas las conexiones a la puerta de enlace IPFS están protegidas mediante certificados SSL emitidos por la propia compañía. Eso es lo que utilizan los ciberdelincuentes para llevar a cabo el engaño y lograr la confianza de la víctima.

Al almacenar el código HTML para estafas de suplantación de identidad en IPFS, los atacantes pueden utilizar la puerta de enlace IPFS de Cloudflare para mostrar ese documento almacenado. Por ejemplo, este atacante puede utilizar la puerta de enlace para mostrar el un formulario de inicio de sesión en el e-mail. Pero utiliza para ello Cloudflare, por lo que la víctima puede fiarse.

Estos formularios se protegen con un certificado SSL emitido por esta compañía. Podemos esperar que la víctima pueda fiarse más de esta manera y, por tanto, los ciberdelincuentes buscar su objetivo con mayor facilidad.

Un vez que el usuario envíe el formulario, su número de teléfono y correo electrónico se enviarán a una página operada por los atacantes en searchurl.bid. El usuario será redirigido a un archivo PDF.

Según mencionan desde BleepingComputer, este atacante ha estado involucrado en numerosos ataques de phishing desde el pasado mes de julio. Si utilizamos VirusTotal para obtener una lista de URL conocidas relacionadas con el dominio searchurl.bid, podemos encontrar numerosas páginas de envío de formularios maliciosos.

Muchas de estas páginas ya no están disponibles. Sin embargo algunas están activas y muestran formularios de suplantación de identidad para cuentas de Google o Microsoft.

Esto ha provocado que muchos usuarios caigan en la trampa. No prestan la atención suficiente e introducen sus datos que acaban en malas manos.

Cómo protegerse de este problema relacionado con el phishing

Cuando hablamos de protección contra el phishing, lo principal es el sentido común. Debemos de estar siempre alertas. Este tipo de amenaza puede llegar mediante correo electrónico o mensajes, pero también en links fraudulentos que nos encontremos a la hora de navegar.

Siempre hay que tener presente que una compañía no va a solicitarnos nuestra contraseña a través de estos medios. Nunca hay que hacer clic en enlaces para acceder a ciertos servicios a través de un e-mail. Lo ideal es entrar directamente en la página desde el navegador.

Además, también es importante contar con programas y herramientas de seguridad. De esta manera podremos protegernos de posibles amenazas que comprometan nuestra seguridad y privacidad.