Especialistas em segurança relataram um aumento nos canais fraudulentos do Telegram que se apresentam como grupos de apoio para serviços de carteiras criptográficas. Esses canais usam nomes que parecem legítimos e frequentemente copiam elementos de branding associados a plataformas conhecidas. Seus operadores incentivam os usuários a buscar ajuda técnica e depois os direcionam para links ou instruções que desencadeiam atividades maliciosas. O objetivo é obter acesso à carteira e transferir ativos para contas controladas pelo atacante. Pesquisadores descreveram esses canais como amplamente difundidos e observaram que alguns usam bots automatizados para inflar o número de membros e criar uma aparência de credibilidade.
Investigadores afirmaram que os canais direcionam os usuários a conectarem suas carteiras ou instalar softwares apresentados como ferramenta de diagnóstico. Uma vez que o usuário cumpra, o atacante pode iniciar transações que transferem ativos para fora da carteira. Como as transações em blockchain são irreversíveis, os fundos não podem ser recuperados uma vez transferidos. A atividade está ligada a um malware conhecido como drainer, que é projetado para obter aprovação para transferências sem o conhecimento da vítima. Alguns drenadores são oferecidos como ferramentas baseadas em assinaturas que permitem que diferentes grupos conduzam ataques semelhantes sob um framework compartilhado.
Os golpistas frequentemente afirmam que os usuários precisam verificar suas carteiras para resolver problemas como transferências falhadas ou contas bloqueadas. Eles também podem se referir a supostos airdrops ou programas de compensação para incentivar as vítimas a assinarem transações. Esses métodos de engenharia social têm como objetivo transmitir urgência e impedir que os usuários verifiquem as alegações por canais oficiais. Pesquisadores observaram que o design das ferramentas de drenagem permite a movimentação rápida de fundos e que os atacantes frequentemente roteiam ativos por várias carteiras para complicar o rastreamento.
Especialistas disseram que esses esquemas exploram mal-entendidos comuns sobre como os sistemas financeiros descentralizados operam. Os provedores de carteiras não solicitam chaves privadas nem exigem que os usuários aprovem transações por meio de plataformas públicas de mensagens. Eles também não direcionam os clientes a instalar softwares que não possuem verificação em lojas de aplicativos reconhecidas. Qualquer solicitação que não tenha origem em uma página oficial de suporte deve ser tratada com cautela. Usuários que entraram nos canais fraudulentos frequentemente relataram que o contato começou com consultas simples antes de escalar para solicitações que expuseram suas carteiras.
Analistas de segurança recomendam que usuários de criptomoedas evitem interagir com canais de suporte do Telegram que não sejam verificados pelo provedor de carteira relevante. O suporte oficial geralmente é oferecido por meio de sites com sistemas de comunicação seguros, em vez de grupos públicos. Os usuários também devem evitar aprovar prompts de conexão de carteira que não sejam iniciados por aplicativos confiáveis. Revisar regularmente as permissões da carteira pode reduzir a exposição a contratos maliciosos. Soluções de armazenamento a frio ou autenticação multifator oferecem salvaguardas adicionais quando disponíveis.
Pesquisadores enfatizam a importância da conscientização dos usuários, pois os canais fraudulentos são projetados para explorar confiança, e não vulnerabilidades técnicas. Eles aconselham os usuários a confirmar quaisquer instruções relacionadas ao suporte por meio de sites oficiais e a evitar interagir com canais que solicitam informações sensíveis. Denunciar contas suspeitas ao Telegram pode ajudar a limitar novas atividades. A crescente presença de esquemas de drenagem coordenados em várias plataformas de mensagens destaca a necessidade de cautela ao lidar com questões de carteiras cripto fora de ambientes de suporte reconhecidos.