El auge de los bots a la supervisión de contraseñas de un solo uso: Krebs on Security

En febrero, KrebsOnSecurity escribió sobre un nuevo tipo de servicio de ciberdelincuencia que ayudó a los atacantes a interceptar contraseñas de un solo uso (OTP), que muchos sitios web requieren como segundo factor de autenticación además de las contraseñas. Este servicio se desconectó rápidamente, pero una nueva investigación muestra que varios competidores han introducido servicios basados ​​en bots que facilitan relativamente a los estafadores la suplantación de OTP de los objetivos.

Un anuncio para el servicio / bot de escucha de OTP «SMSRanger».

Muchos sitios web ahora requieren que los usuarios proporcionen una contraseña y un código numérico / token OTP enviado por SMS o desde aplicaciones móviles como. es generado Authy y Autenticador de Google. La idea es que incluso si se roba la contraseña del usuario, el atacante no podrá acceder a la cuenta del usuario sin este segundo factor, es decir, sin acceso al dispositivo móvil o número de teléfono de la víctima.

El servicio de errores de OTP que se dio a conocer a principios de este año: Otp[.]Agencia – anunció un bot basado en la web diseñado para engañar a los objetivos para que renuncien a los tokens OTP. Este servicio (y todos los demás mencionados en esta historia) asume que el cliente ya tiene las credenciales del objetivo de alguna manera.

Los clientes de la agencia OTP ingresan el número de teléfono y el nombre de un destino, y luego el servicio inicia una llamada automatizada para informar a esa persona de la actividad no autorizada en su cuenta. La llamada pedía al objetivo que ingresara un token de OTP («con fines de autenticación») generado por la aplicación móvil de su teléfono, y ese código luego se enrutaba al panel de clientes de los delincuentes en el sitio web de la agencia de OTP.

La Agencia OTP se desconectó a las pocas horas de esta historia. Pero según una investigación de la compañía de inteligencia cibernética Intel 471, han surgido varios servicios nuevos de detección de errores de OTP para llenar este vacío. Y todos ellos trabajan telegrama, un sistema de mensajería instantánea basado en la nube.

«Intel 471 ha experimentado un aumento en los servicios clandestinos de delitos cibernéticos que permiten a los atacantes interceptar tokens de contraseña de un solo uso (OTP)», escribió la compañía en una publicación de blog hoy. “En los últimos meses, los actores han dado acceso a servicios que llaman a las víctimas, parecen una llamada legítima de un banco específico, engañando a las víctimas para que ingresen una OTP u otro código de verificación en un teléfono móvil para capturar y entregar los códigos al Operador. Algunos servicios también se dirigen a otras plataformas de redes sociales populares o servicios financieros y ofrecen funciones de phishing por correo electrónico y de intercambio de SIM «.

Intel471 dice que un nuevo bot de Telegram OTP llamado «SMSRanger«Es popular porque es muy fácil de usar y probablemente debido a los numerosos testimonios de clientes que parecen satisfechos con la tasa de éxito frecuente en la extracción de tokens OTP cuando el atacante ya tiene la información personal» completa «del objetivo, como el número y fecha de cumpleaños. De su análisis:

Otro servicio de interceptación de OTP llamado SMS Buster requiere un poco más de esfuerzo por parte del cliente, explica Intel 471:

Estos servicios surgen porque funcionan y son rentables. Y son rentables porque demasiados sitios web y servicios dirigen a los usuarios a métodos de autenticación multifactor que pueden ser interceptados, falsificados o mal dirigidos, como códigos únicos basados ​​en SMS o incluso tokens OTP generados por aplicaciones.

La idea detrás de la verdadera «autenticación de dos factores» es que el usuario tiene que presentar dos de tres de los siguientes: algo que tiene (dispositivos móviles); algo que saben (contraseñas); o algo que son (biometría). Por ejemplo, ingresa su información de inicio de sesión en un sitio web y el sitio web le solicita que apruebe el inicio de sesión a través de un mensaje que aparece en su dispositivo móvil registrado. Esta es una autenticación real de dos factores: algo que tienes y algo que sabes (y tal vez incluso algo que eres).

El 2fa SMS Buster Bot en Telegram. Imagen: Intel 471.

Además, estos métodos denominados de “notificación automática” contienen importantes contextos basados ​​en el tiempo que aumentan la seguridad: tienen lugar inmediatamente después de que el usuario ha enviado la información de inicio de sesión; y la opción de aprobar la notificación de inserción caduca al poco tiempo.

Pero en muchos casos, los sitios web esencialmente requieren dos cosas que usted sabe (una contraseña y un código de acceso de un solo uso) que se envían a través del mismo canal (un navegador web). Por lo general, esto sigue siendo mejor que ninguna autenticación multifactor, pero como muestran estos servicios, ahora hay muchas formas de eludir esta protección.

Espero que estos servicios de detección de errores de OTP dejen en claro que nunca debe dar información en respuesta a una llamada telefónica no deseada. No importa quién diga que está llamando, si no ha iniciado el contacto, cuelgue. No los ponga en espera mientras llama a su banco; Los estafadores también pueden evitar eso. Solo cuelga. Entonces puedes llamar a tu banco oa quien necesites.

Desafortunadamente, quienes tienen más probabilidades de caer en estos sistemas de escucha de OTP son las personas que tienen menos experiencia con la tecnología. Si usted es un fanático de las TI de los residentes o la familia y puede actualizar o mejorar los perfiles de autenticación de múltiples factores para sus amigos y seres queridos menos conocedores de la tecnología, esta sería una excelente manera de mostrar su cuidado y ayudarlos a través de un desastre potencial Evite uno de estos servicios de bot.

¿Cuándo fue la última vez que verificó sus configuraciones y opciones de múltiples factores en los distintos sitios web a los que se les confía su información personal y financiera más valiosa? Una visita al 2fa.directory (anteriormente twofactorauth[.]org) para el control.