in

El auge de los bots a la supervisión de contraseñas de un solo uso: Krebs on Security


En febrero, KrebsOnSecurity escribió sobre un nuevo tipo de servicio de ciberdelincuencia que ayudó a los atacantes a interceptar contraseñas de un solo uso (OTP), que muchos sitios web requieren como segundo factor de autenticación además de las contraseñas. Este servicio se desconectó rápidamente, pero una nueva investigación muestra que varios competidores han introducido servicios basados ​​en bots que facilitan relativamente a los estafadores la suplantación de OTP de los objetivos.

Un anuncio para el servicio / bot de escucha de OTP «SMSRanger».

Muchos sitios web ahora requieren que los usuarios proporcionen una contraseña y un código numérico / token OTP enviado por SMS o desde aplicaciones móviles como. es generado Authy y Autenticador de Google. La idea es que incluso si se roba la contraseña del usuario, el atacante no podrá acceder a la cuenta del usuario sin este segundo factor, es decir, sin acceso al dispositivo móvil o número de teléfono de la víctima.

El servicio de errores de OTP que se dio a conocer a principios de este año: Otp[.]Agencia – anunció un bot basado en la web diseñado para engañar a los objetivos para que renuncien a los tokens OTP. Este servicio (y todos los demás mencionados en esta historia) asume que el cliente ya tiene las credenciales del objetivo de alguna manera.

Los clientes de la agencia OTP ingresan el número de teléfono y el nombre de un destino, y luego el servicio inicia una llamada automatizada para informar a esa persona de la actividad no autorizada en su cuenta. La llamada pedía al objetivo que ingresara un token de OTP («con fines de autenticación») generado por la aplicación móvil de su teléfono, y ese código luego se enrutaba al panel de clientes de los delincuentes en el sitio web de la agencia de OTP.

La Agencia OTP se desconectó a las pocas horas de esta historia. Pero según una investigación de la compañía de inteligencia cibernética Intel 471, han surgido varios servicios nuevos de detección de errores de OTP para llenar este vacío. Y todos ellos trabajan telegrama, un sistema de mensajería instantánea basado en la nube.

«Intel 471 ha experimentado un aumento en los servicios clandestinos de delitos cibernéticos que permiten a los atacantes interceptar tokens de contraseña de un solo uso (OTP)», escribió la compañía en una publicación de blog hoy. “En los últimos meses, los actores han dado acceso a servicios que llaman a las víctimas, parecen una llamada legítima de un banco específico, engañando a las víctimas para que ingresen una OTP u otro código de verificación en un teléfono móvil para capturar y entregar los códigos al Operador. Algunos servicios también se dirigen a otras plataformas de redes sociales populares o servicios financieros y ofrecen funciones de phishing por correo electrónico y de intercambio de SIM «.

Intel471 dice que un nuevo bot de Telegram OTP llamado «SMSRanger«Es popular porque es muy fácil de usar y probablemente debido a los numerosos testimonios de clientes que parecen satisfechos con la tasa de éxito frecuente en la extracción de tokens OTP cuando el atacante ya tiene la información personal» completa «del objetivo, como el número y fecha de cumpleaños. De su análisis:

“Aquellos que pagan por el acceso pueden usar el bot ingresando comandos similares a los que usan los bots en la popular herramienta de colaboración de Slack. Un simple comando de barra inclinada permite al usuario activar diferentes «modos» (secuencias de comandos que sirven como servicios diferentes) que se dirigen a bancos específicos, así como a PayPal, Apple Pay, Google Pay o un operador de telefonía celular.

Una vez que el número de teléfono de un destino se ingresa, el bot hace el resto del trabajo y finalmente otorga acceso a la cuenta específica a la que se dirigió. Los usuarios afirman que SMSRanger tiene una tasa de efectividad de alrededor del 80% cuando la víctima respondió a la llamada y la información completa del usuario fue correcta y actualizada «.

Otro servicio de interceptación de OTP llamado SMS Buster requiere un poco más de esfuerzo por parte del cliente, explica Intel 471:

“El bot ofrece opciones para disfrazar una llamada de modo que parezca un contacto legítimo de un banco en particular, mientras que los atacantes pueden elegir marcar desde cualquier número de teléfono. A partir de ahí, un atacante podría seguir un guión para engañar a la víctima para que proporcione datos confidenciales como el número de identificación personal (PIN), el valor de verificación de la tarjeta (CVV) y la OTP, que luego podrían enviarse a la cuenta de Telegram de una persona. El bot, utilizado por atacantes que apuntan a víctimas canadienses, permite a los usuarios lanzar ataques en francés e inglés «.

Estos servicios surgen porque funcionan y son rentables. Y son rentables porque demasiados sitios web y servicios dirigen a los usuarios a métodos de autenticación multifactor que pueden ser interceptados, falsificados o mal dirigidos, como códigos únicos basados ​​en SMS o incluso tokens OTP generados por aplicaciones.

La idea detrás de la verdadera «autenticación de dos factores» es que el usuario tiene que presentar dos de tres de los siguientes: algo que tiene (dispositivos móviles); algo que saben (contraseñas); o algo que son (biometría). Por ejemplo, ingresa su información de inicio de sesión en un sitio web y el sitio web le solicita que apruebe el inicio de sesión a través de un mensaje que aparece en su dispositivo móvil registrado. Esta es una autenticación real de dos factores: algo que tienes y algo que sabes (y tal vez incluso algo que eres).

El 2fa SMS Buster Bot en Telegram. Imagen: Intel 471.

Además, estos métodos denominados de “notificación automática” contienen importantes contextos basados ​​en el tiempo que aumentan la seguridad: tienen lugar inmediatamente después de que el usuario ha enviado la información de inicio de sesión; y la opción de aprobar la notificación de inserción caduca al poco tiempo.

Pero en muchos casos, los sitios web esencialmente requieren dos cosas que usted sabe (una contraseña y un código de acceso de un solo uso) que se envían a través del mismo canal (un navegador web). Por lo general, esto sigue siendo mejor que ninguna autenticación multifactor, pero como muestran estos servicios, ahora hay muchas formas de eludir esta protección.

Espero que estos servicios de detección de errores de OTP dejen en claro que nunca debe dar información en respuesta a una llamada telefónica no deseada. No importa quién diga que está llamando, si no ha iniciado el contacto, cuelgue. No los ponga en espera mientras llama a su banco; Los estafadores también pueden evitar eso. Solo cuelga. Entonces puedes llamar a tu banco oa quien necesites.

Desafortunadamente, quienes tienen más probabilidades de caer en estos sistemas de escucha de OTP son las personas que tienen menos experiencia con la tecnología. Si usted es un fanático de las TI de los residentes o la familia y puede actualizar o mejorar los perfiles de autenticación de múltiples factores para sus amigos y seres queridos menos conocedores de la tecnología, esta sería una excelente manera de mostrar su cuidado y ayudarlos a través de un desastre potencial Evite uno de estos servicios de bot.

¿Cuándo fue la última vez que verificó sus configuraciones y opciones de múltiples factores en los distintos sitios web a los que se les confía su información personal y financiera más valiosa? Una visita al 2fa.directory (anteriormente twofactorauth[.]org) para el control.

What do you think?

Written by Alan Kim

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Experto en criptomonedas de EE. UU. Se declara culpable de ayudar a Corea del Norte a evadir sanciones

Alguien se hace pasar por un DMV de California en los mensajes de texto