O mercado de tokens não fungíveis (NFTs) OpenSea foi alvo de mais uma violação. Dessa vez, houve uma exploração de dados que resultou em um vazamento de contas de e-mail dos usuários.
Em um post em seu blog na quarta-feira (29), a empresa deu detalhes sobre a violação e alertou os usuários que forneceram seus e-mails para o marketplace de NFTs sobre possíveis ataques de phishing.
Funcionário de fornecedor da OpenSea vazou dados
Conforme informou a OpenSea na nota, a empresa soube que um funcionário do Customer.io, seu fornecedor de entrega de e-mail, usou de forma indevida o seu acesso para baixar e compartilhar endereços de e-mail com uma parte externa não autorizada.
Essas contas são fornecidas por usuários da OpenSea e assinantes do boletim informativo da empresa.
“Se você compartilhou seu e-mail com a OpenSea no passado, você deve assumir que foi impactado. Nós estamos trabalhando com o Customer.io em sua investigação em andamento e relatamos esse incidente às autoridades”, disse a empresa.
Confira nossas sugestões de Pre-Sales para investir agora
Risco de ataque de phishing
Em seguida, a empresa alertou para possíveis ataques de phishing decorrentes do vazamento de e-mails.
Um ataque de phishing é um tipo de técnica de crime cibernético em que os golpistas manipulam as vítimas para obter dados confidenciais delas.
Em geral, eles tentam se passar por instituições legítimas e enviam links maliciosos via e-mail, ou de outras formas, para obter dados das vítimas como, por exemplo, e-mails, credenciais bancárias e senhas de carteira de criptomoedas.
Por conta disso, a OpenSea pediu que os seus usuários fiquem atentos a qualquer tentativa de alguém se passar pela OpenSea por e-mail.
Como se proteger de um ataque de phishing?
A OpenSea explicou que, como o vazamento de dados inclui as contas de e-mail, pode haver uma maior probabilidade de tentativas de phishing por e-mail.
“Embora as práticas seguras de e-mail sejam sempre importantes, nós recomendamos que você siga as diretrizes listadas abaixo e trate cuidadosamente quaisquer e-mails futuros que pareçam ser da OpenSea”, pontou a empresa.
De acordo com a empresa de NFTs, os cibercriminosos podem tentar entrar em contato com os seus usuários usando um e-mail visualmente semelhante ao oficial (‘opensea.io’), como ‘opensea.org’.
Exemplos de endereços de phishing
Além disso, a empresa pediu que os usuários nunca baixem nada de um e-mail da OpenSea:
“Os e-mails autênticos do OpenSea não incluem anexos ou solicitações para baixar nada.”
Também é preciso verificar a URL de qualquer página vinculada em um e-mail do OpenSea:
“Nós só vamos incluir links para URLs ‘email.opensea.io’. Certifique-se de que ‘opensea.io’ esteja escrito de forma correta, pois é comum que agentes mal-intencionados se passem por URLs embaralhando letras.”
Por fim, a empresa alertou que nunca vai solicitar que os usuários compartilhem ou confirme suas senhas ou frases secretas da carteira tampouco assinem uma transação de carteira solicitada diretamente de um e-mail.
Ataque ao Discord da OpenSea
A OpenSea parece ter se tornado um dos alvos favoritos de agentes maliciosos. Além deste vazamento recente, no mês de maio, conforme noticiou o CriptoFácil, a empresa teve seu servidor Discord hackeado. Após a invasão, o canal passou a promover um golpe de phishing com NFTs.
Os invasores criaram um anúncio no servidor Discord da OpenSea informando sobre um falso “mint pass” (passe de cunhagem) em parceria com o YouTube.
Então, o hacker orientou os membros do grupo a irem a um site que continha a palavra YouTube. No entanto, o endereço era falso e não correspondia ao site oficial.
Na página falsa havia a informação de uma promoção oferecendo aos 100 primeiros participantes a chance de reivindicar tokens com 100% de desconto. Mas se tratava, na verdade, de um link de phishing.
Leia também: União Europeia chega a acordo para rastrear as transferências de criptomoedas
Leia também: Coinbase busca licenças na Europa visando expansão global
Leia também: Ethereum lança hard fork Grey Glacier e adia em 100 dias lançamento da bomba de dificuldade
