Bots que te roban tu clave de autenticación en dos pasos (está pasando)

Sé que suena a esas cadenas que circulan por redes sociales y aplicaciones de mensajería sobre que no descuelgues o no llames a determinado número porque tu teléfono podría formatearse o te podrían robar todos los datos del banco o millones de gatitos morirán en algún sótano por tu culpa, porque nunca deberías haber contestado a esa llamada y esto que te avisaron repetidas (innumerables) veces con mensajes enviados por tu mamá o por tus amigos, o por el grupo de cuñados (siempre empiezan diciendo “creo que es falso pero por si acaso…”). De acuerdo, esas cadenas son falsas, pero esto no.

Al menos si leemos el informe en primera persona (es decir, que le ha pasado al periodista) que ha publicado la revista Vice en su sección Motherboard.

Captura de pantalla del bot en acción, subida a uno de los canales de Telegram de SMSRanger. Fuente: Motherboard

La artimaña es sencilla pero efectiva. En resumen: algo que parece un robot, te llaman desde PayPal, Amazon,Apple Pay, tu banco, etc. diciendo que han bloqueado un intento de acceso a tu cuenta, porque en realidad ellos están intentando acceder a tu cuenta.

Así que te dicen que te van a enviar un SMS con un código para que confirmes que eres el propietario de la cuenta, y que cuando lo recibas lo introduzcas en el teléfono.

De esta manera, los malos, que son los que están intentando conseguir tus credenciales, consiguen que -voluntariamente- les des el código que necesitan para poder acceder a tu cuenta.

La cuestión es que la llamada es fraudulenta, pero el SMS es legítimo, porque es un paso que se dispara automáticamente cuando se intenta acceder desde un nuevo dispositivo (aun así, debería llegarte un email informando de que se ha accedido desde una nueva ubicación).

Tal vez te estés consolando a ti mismo pensando que esas cosas sólo pasan en América, pero si has prestado atención, frecuentemente se están filtrando nombres de usuarios y contraseñas (lee aquí nuestra modesta relación de los últimos casos) así que no es raro que haya decenas de hackers que tienen todos los datos tuyos que necesitan para engañarte: nombre y apellidos, contraseña, email, teléfono móvil… lo demás seguro que no les cuesta averiguarlo.

Cuando el bot realiza la llamada automatizada y le pide a la víctima que ingrese un código que acaba de recibir, el hacker activará simultáneamente un código legítimo que se enviará desde la plataforma objetivo al teléfono de la víctima. Pueden hacerlo ingresando el nombre de usuario y la contraseña de la víctima en el sitio para que la víctima reciba un código de inicio de sesión o autorización. Aunque el guión de la llamada puede decirle a la víctima que el código tiene un propósito, tal vez bloquear una transferencia de efectivo o proteger su cuenta de la entrada no autorizada, en realidad el hacker está usando el código para ingresar a la cuenta ellos mismos.

El bot luego toma el código introducido de la víctima, lo retroalimenta a la interfaz del bot y luego el hacker puede usar el código para iniciar sesión.

En febrero, Krebs on Security cubrió un bot de OTP llamado OTP Agency. Luego, en julio, el sitio web de ciberseguridad Frank on Fraud cubrió algunos otros, incluido uno llamado BloodOTP. La firma de inteligencia de amenazas Intel471 publicó su propia investigación sobre los bots en septiembre.

Motherboard también ha identificado más bots, y parece que están creciendo en popularidad.

OTP son las siglas de “One Time Password” (Contraseña de un solo uso) y es el mismo caso que el factor de doble autenticación.

Alf

Propietario de www.faq-mac.com.

0 0 votos
Article Rating
Subscribe
Notify of
0 Comments
Opiniones Inline
Ver todos los comentarios
0
Me encantaría saber tu opinión, por favor, deja un comentariox
()
x