Usuários de criptomoedas têm relatado recentemente uma nova onda de tentativas de phishing, na qual golpistas enviam e-mails fraudulentos se passando por grandes exchanges, como Coinbase e Gemini. O esquema envolve mensagens enganosas que induzem os destinatários a configurarem carteiras digitais utilizando frases de recuperação previamente geradas pelos criminosos.
Os ataques foram amplamente divulgados em postagens de usuários na plataforma X, onde vítimas compartilharam capturas de tela dos e-mails suspeitos. Os fraudadores justificam a necessidade de mudança para carteiras autônomas mencionando ações judiciais da Comissão de Valores Mobiliários dos Estados Unidos (SEC, na sigla em inglês), que na verdade já foram arquivadas. A mensagem falsa estipula um prazo final, até 1º de abril, para que os usuários migrem seus fundos para uma nova carteira digital.
Embora os links contidos nos e-mails levem a aplicativos legítimos de carteiras digitais, os golpistas fornecem frases-semente que garantem a eles acesso total aos ativos transferidos. Dessa forma, qualquer valor enviado para essas carteiras fica sob o controle dos atacantes, que podem movimentar os fundos livremente.
No caso específico da Coinbase, o esquema se baseia em um falso comunicado sobre uma suposta reestruturação da empresa após uma ação coletiva alegando a venda de valores mobiliários não registrados. No e-mail fraudulento, os criminosos afirmam que a Coinbase passaria a atuar como corretora regulamentada, exigindo que os usuários migrassem seus ativos para o aplicativo Coinbase Wallet.
Para tornar a fraude mais convincente, os golpistas instruem os usuários a baixar o aplicativo oficial da Coinbase Wallet, mas fornecem frases-semente já comprometidas. Essa estratégia explora a confiança dos usuários na plataforma e os leva a inserir dados que permitem o roubo de seus fundos.
Além disso, o e-mail menciona a data limite de 1º de abril, criando um senso de urgência para que as vítimas ajam rapidamente sem checar a veracidade da informação por meio de canais oficiais. Essa tática de pressão psicológica é amplamente utilizada em golpes de phishing para acelerar a tomada de decisões das vítimas.
A justificativa legal utilizada na fraude faz referência a uma ação movida pela SEC contra a Coinbase. No entanto, esse processo foi oficialmente arquivado em 27 de fevereiro, o que demonstra que os criminosos utilizam informações reais para dar credibilidade ao golpe.
O golpe não se restringiu à Coinbase. Usuários da exchange Gemini também foram alvo de e-mails fraudulentos com estrutura semelhante. Os golpistas alegavam que, devido a uma decisão judicial recente, os clientes precisavam configurar novas carteiras para continuar utilizando os serviços da plataforma.
As mensagens fraudulentas direcionadas aos clientes da Gemini utilizavam o mesmo método: ofereciam frases-semente previamente geradas, permitindo que os atacantes acessassem os fundos das vítimas assim que fossem transferidos. Essa abordagem sugere que as campanhas contra Coinbase e Gemini foram orquestradas pelo mesmo grupo de criminosos, que replicaram a estratégia para atingir diferentes bases de usuários.
A menção a processos judiciais na justificativa do golpe também foi utilizada no caso da Gemini. A SEC havia movido uma ação contra a exchange, alegando que a empresa oferecia valores mobiliários não registrados por meio de seu programa de rendimento. No entanto, essa ação foi oficialmente encerrada em 26 de fevereiro, o que indica que os fraudadores estão se aproveitando de informações reais para criar um contexto plausível para o golpe.
A similaridade entre os ataques contra usuários das duas exchanges indica que os golpistas criaram um modelo de phishing facilmente adaptável para atingir clientes de diferentes plataformas. Especialistas alertam que usuários de criptomoedas devem sempre desconfiar de e-mails solicitando ações urgentes e nunca utilizar frases-semente fornecidas por terceiros. A verificação direta com os canais oficiais das exchanges é essencial para evitar cair nesse tipo de fraude.
