No domingo, as redes sociais do Exército Britânico foram pirateadas para espalhar ligações de phishing. Enquanto os atacantes renomearam a conta Twitter para parecer um projecto NFT, o canal YouTube foi alterado para parecer o do fundo de investimento Ark Invest
O Twitter e o YouTube do exército britânico publicam links de phishing
No domingo, a conta no Twitter do exército britânico e o canal YouTube foram pirateados e postaram esquemas de phishing. Embora a situação tenha voltado ao normal no Twitter, o exército lançou uma investigação e pediu desculpa:
Apologies for the temporary interruption to our feed. Conduziremos uma investigação completa e aprenderemos com este incidente. Obrigado por nos seguir e o serviço normal será retomado.
– Exército Britânico (@BritishArmy) Julho 3, 2022
Durante várias horas, a conta do exército britânico no Twitter foi efectivamente renomeada para imitar várias colecções de fichas não fungíveis (NFT). Um exemplo é a colecção The Possessed, lançada recentemente no OpenSea:
O @BritishArmy tem sido comprometido e está actualmente a ser usado para xelimar NFTs.
Arquivo anterior do perfil no Twitter: https://t.co/dQmlxlY5l8 pic.twitter.com/gifpsOy000
– vx-underground (@vxunderground) 3 de Julho de 2022
Não sabemos até que ponto as pessoas podem ter caído na armadilha. O facto é que existe uma boa hipótese de que os vários links publicados tenham levado à autorização de um contrato inteligente malicioso.
Quanto ao YouTube, os hackers foram ainda mais longe. Remodelaram o canal para que se assemelhasse ao da Ark Invest, o fundo de investimento da Cathie Wood. Os vídeos foram então transmitidos em directo para sugerir entrevistas com Elon Musk:
Meanwhile, over at YouTube, the British Army’s account has been rebranded to reslike ARK Invest and used to play those fake “double-your-money” Bitcoin/Ether scams with the Elon Musk/Jack Dorsey videos. pic.twitter.com/ovgNghr2Zb
– web3 vai muito bem (@web3isgreat) Julho 3, 2022
Os espectadores foram então redireccionados para códigos QR para participar numa chamada “Giveaway”. Esta tentativa de esquema, comum no nosso ecossistema, afirma que se se enviar uma quantidade de BTC ou ETH para um determinado endereço, o dobro será devolvido.
Pesca em criptos
Embora o envolvimento do exército britânico seja, no mínimo, surpreendente, as tentativas de phishing são comuns no nosso ecossistema. Em Maio passado, o artista Beeple foi também vítima de um hack semelhante. Isto resultou em mais de $400.000 em roubos.
Por outro lado, há tentativas mais ou menos convincentes de phishing por correio electrónico. Por exemplo, o atacante tentará fazer o alvo acreditar que a sua carteira da MetaMask precisa de ser restaurada. Qualquer que seja a forma que estes esquemas assumam, o objectivo continua a ser o roubo de moedas criptográficas. Infelizmente, a única forma de evitar ser enganado é estar vigilante.
O canal do Exército Britânico no YouTube ainda não foi restaurado na altura em que foi escrito. O Ministério da Defesa também não divulgou qualquer informação sobre o progresso da investigação.