Cómo los phishers de Coinbase roban contraseñas de un solo uso – Krebs on Security
Una campaña de phishing reciente con orientación Base de monedas Los usuarios muestran que los ladrones se están volviendo más inteligentes con el phishing de contraseñas de un solo uso (OTP), que son necesarias para completar el proceso de inicio de sesión. También muestra que los phishers están tratando de registrarse en nuevas cuentas de Coinbase millones de veces para identificar direcciones de correo electrónico que ya están vinculadas a cuentas activas.
Una versión traducida por Google del ahora desaparecido sitio de phishing Coinbase coinbase.com.password-reset[.]com
Con alrededor de 68 millones de usuarios de más de 100 países, Coinbase es el segundo intercambio de criptomonedas más grande del mundo. El ahora desaparecido dominio de phishing que está en juego: coinbase.com.password-reset[.]com – dirigidos a los usuarios italianos de Coinbase (el idioma predeterminado del sitio web era el italiano). Y fue bastante exitoso así Alex Holden, Fundador de Hold Security, empresa de ciberseguridad con sede en Milwaukee.
El equipo de Holden logró echar un vistazo a algunos directorios de archivos mal ocultos asociados con este sitio de phishing, incluida su página de administración. Este panel, que se muestra en la captura de pantalla ennegrecida a continuación, indicó que los ataques de phishing capturaron al menos 870 conjuntos de credenciales antes de que el sitio se desconectara.
El panel de phishing de Coinbase.
Holden dijo que cada vez que una nueva víctima presentaba credenciales al sitio de phishing de Coinbase, el panel de administración haría una «cosa» ruidosa, presumiblemente para alertar a quien estuviera al otro lado de esta estafa de phishing que tenía un gancho de teclado en vivo.
En cualquier caso, los phishers presionaron manualmente un botón que resultó en que el sitio de phishing solicitara a los visitantes más información, como la contraseña de un solo uso, desde su aplicación móvil.
«Estos muchachos tienen habilidades en tiempo real para solicitar cualquier información de la víctima que necesiten para ingresar a su cuenta de Coinbase», dijo Holden.
Al presionar el botón «Enviar información», se pidió a los visitantes que proporcionaran información personal adicional, como nombre, fecha de nacimiento y dirección. Armados con el número de teléfono celular del objetivo, también podrían hacer clic en «Enviar SMS de verificación» con un mensaje de texto pidiéndoles que devuelvan un código de un solo uso.
Holden dijo que el grupo de phishing aparentemente identificó a los usuarios italianos de Coinbase al intentar registrar nuevas cuentas en las direcciones de correo electrónico de más de 2,5 millones de italianos. Su equipo también logró recuperar la información de nombre de usuario y contraseña enviada por las víctimas al sitio web, y prácticamente todas las direcciones de correo electrónico enviadas terminaron en «.it».
Pero los phishers probablemente no estaban interesados en registrar cuentas en este caso. Más bien, los malos entendieron que cualquier intento de iniciar sesión con una dirección de correo electrónico vinculada a una cuenta de Coinbase existente fallaría. Después de hacer esto millones de veces, los phishers tomaron las direcciones de correo electrónico que fallaron en los inicios de sesión de nuevas cuentas y dirigieron los correos electrónicos de phishing relacionados con Coinbase.
Los datos de Holden muestran que esta banda de phishing realizaba cientos de miles de intentos de inicio de sesión a medias todos los días. Por ejemplo, el 10 de octubre, los estafadores comprobaron más de 216.000 direcciones de correo electrónico utilizando los sistemas de Coinbase. Al día siguiente, intentaron registrar 174.000 nuevas cuentas de Coinbase.
En una declaración por correo electrónico compartida con KrebsOnSecurity, Coinbase dijo que está «tomando amplias medidas de seguridad para garantizar que nuestra plataforma y las cuentas de los clientes permanezcan lo más seguras posible». Aquí está el resto de su declaración:
El mes pasado, Coinbase anunció que piratas informáticos malintencionados robaron criptomonedas de 6.000 clientes después de explotar una vulnerabilidad para eludir la función de seguridad de autenticación multifactor de SMS de la empresa.
«Según Coinbase, para llevar a cabo el ataque, los atacantes deben conocer la dirección de correo electrónico del cliente, la contraseña y el número de teléfono que están vinculados a su cuenta de Coinbase y tener acceso a la cuenta de correo electrónico de la víctima», por lo que Bleeping Computers Lawrence Abrams escribió. «Si bien no se sabe cómo los actores de amenazas obtuvieron acceso a esta información, Coinbase cree que se hizo a través de campañas de phishing dirigidas a los clientes de Coinbase para robar credenciales de cuentas que ahora son comunes».
Este esquema de phishing es otro ejemplo de cómo los delincuentes están encontrando formas cada vez más sofisticadas de eludir las opciones de autenticación multifactor más populares, como las contraseñas de un solo uso. El mes pasado, KrebsOnSecurity destacó la investigación sobre varios servicios nuevos basados en bots basados en Telegram que facilitan relativamente a los estafadores la suplantación de identidad de objetivos mediante llamadas telefónicas y mensajes de texto automatizados. Todos estos servicios de phishing OTP asumen que el cliente ya tiene las credenciales del objetivo, por ejemplo, a través de un sitio de phishing como el investigado en esta historia.
Los lectores expertos aquí seguramente ya sabrán esto, pero para encontrar el verdadero dominio al que apunta un enlace, mire a la derecha de «http (s): //» hasta que encuentre la primera barra (/). El dominio inmediatamente a la izquierda de esa primera barra es el objetivo real; cualquier cosa antes del segundo punto a la izquierda de esa primera barra es un subdominio y debe ignorarse al determinar el verdadero nombre de dominio.
En el dominio de phishing en cuestión: coinbase.com.password-reset[.]com – Restablecer la contraseña[.]com es el dominio de destino y coinbase.com es solo un subdominio arbitrario de restablecimiento de contraseña[.]com. Sin embargo, cuando se visualiza en un dispositivo móvil, es posible que muchos visitantes de dicho dominio solo vean la parte del subdominio de la URL en la barra de direcciones de su navegador móvil.
El mejor consejo para evitar las estafas de phishing es evitar hacer clic en enlaces que llegan no solicitados en correos electrónicos, mensajes de texto u otros medios. La mayoría de las estafas de phishing se basan en un elemento de tiempo que advierte de las graves consecuencias si no reacciona o actúa rápidamente. Si no está seguro de si el mensaje es legítimo, respire hondo y visite manualmente el sitio web o el servicio en cuestión, idealmente con un marcador del navegador para evitar posibles errores de escritura en el sitio web.
Además, nunca brinde información en respuesta a una llamada telefónica no solicitada. No importa quién diga estar llamando, si no ha iniciado el contacto, cuelgue. No los ponga en espera mientras llama a su banco; Los estafadores también pueden evitar eso. Solo cuelga. Entonces puedes llamar a tu banco o donde lo necesites.
Por cierto, ¿cuándo fue la última vez que verificó sus configuraciones y opciones de múltiples factores en los distintos sitios web a los que se les confía su información personal y financiera más valiosa? Una visita al 2fa.directory (anteriormente twofactorauth[.]org) para el control.
Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.
Estas Cookies son:
Sesión de usuario
Comentarios
Seguridad
Aceptación de Cookies
Si desactivas esta cookie no podremos guardar tus preferencias. Esto significa que cada vez que visites esta web tendrás que activar o desactivar las cookies de nuevo.
