Pra quem não sabe, eu invisto em algumas criptomoedas, e decidi comprar uma hard wallet da Trezor. Hoje eu acordei com um e-mail inusitado que aparentemente foi enviado por eles:
Eu costumo sempre deletar e-mails com conteúdo muito “alarmista”, mas alguns pontos me levaram a me assustar e a acreditar nesse e-mail quando o li.
Eu criei o hábito de cadastrar e-mails com aliases em sites. Um alias nada mais é do que um apelido que podemos usar no e-mail. Ao invés de utilizar [email protected] em todos os sites, eu uso [email protected], por exemplo. Isso é bem útil pra segurança, mas entrarei em mais detalhes sobre o motivo em outro artigo.
O que me fez levar esse e-mail a sério foi ter recebido o e-mail da Trezor com o alias, e nesse caso específico um alias que eu só utilizo neste serviço.
Quando eu abri o link, fui redirecionado para a seguinte página:
Foi quando eu tentei ir para a página principal, trezor.com, e percebi algo estranho. Eu fui parar num site russo que vende belíssimos cofres:
Repararam algo de estranho na URL? O link que eu fui redirecionado é, na verdade, suite.trẹzor. com, com ẹ, não e. O domínio fica um pouquinho diferente neste caso:
Esse golpe é conhecido como IDN homograph attack. Tratam-se de domínios que são muito semelhantes ao original, porém usando caracteres de alfabetos não latinos, como cirílico ou acentuados, como ã, ou ẹ, nesse caso.
Olhando para a página, eu decidi clicar em Trezor suite for web pra ver para onde eu seria
redirecionado, e o link aponta para web.trezorwallet.org, que é diferente do link oficial
https://suite.trezor.io/web/.
Com essas suspeitas em mente, eu decidi checar a data de registro desses domínios, o que também é estranho:
| Domínio | Data de criação |
|---|---|
| xn–trzor-o51b.com (trẹzor.com) - Página principal | 27/03/2022 - 11:09:17 (UTC) |
| trezorwallet.org - Página do webclient | 27/03/2022 - 07:03:32 (UTC) |
| trezor.us - Domínio do remetente do golpe | 09/07/2021 - 00:01:19 (UTC) |
A Trezor é uma empresa que existe desde 2013, então ter domínios tão recém criados também é um indicativo de golpe.
Um outro detalhe é que a maioria dos aplicativos criados pela Trezor são open-source, incluindo Trezor Suite, a página inicial do Trezor Suite e o próprio site. Qualquer pessoa pode baixar o código-fonte, editar os aplicativos e criar clients adulterados ou páginas extremamente convincentes por conta disso.
Depois de analizar todos esses fatores, apesar do e-mail ter me convencido a princípio por conta do alias, tudo indica que a lista foi vazada de alguma forma e os e-mails foram uma tentativa de golpe.
A Trezor também anunciou em seu Reddit sobre o possível vazamento de dados no MailChimp.
Eu reportei o incidente para todas as empresas envolvidas no registro dos domínios checando o WHOIS, para o Internet Crime Complaint Center e para o Internet Beschwerdestelle.