La compañía de seguridad informática Symantec ha publicado
en YouTube un video que explicaun nuevo método que están
ejecutando atacantes para acceder a la cuenta de email de cualquier usuario con
apenas saber su número móvil y su dirección de correo, ¡nada más!
Claro, se trata de un ataque de ingeniería social de lo más sencillo pero que podría afectar a más de
una persona cercana que llegue a desconocer tales prácticas.
En fin, primero
compartimos el video, luego la explicación del método -si es que no se entiende
el video por estar en inglés- y, por último, señalamos tareas básicas para
protegerse e informar a conocidos para que hagan lo debido.
El video
Cómo los criminales roban cuentas de email vía SMS
Para empezar,
aunque nos enfocamos en el email, es claro que esto se hace extensivo a toda red
social y servicio en línea que cuente con soluciones de verificación de
identidad para la recuperación de cuentas vía SMS luego de asociar números de
teléfono para mayor seguridad. Ahora, ¿cómo actúan los
criminales?
-
Supongamos que el atacante conoce la dirección de Gmail de un usuario además de su número telefónico, luego, accede a la página de inicio de sesión de Gmail y justo abajo del cajón para ingresar la cuenta, da clic en “¿Necesitas ayuda?”. En la siguiente pantalla, pulsa en “He olvidado mi contraseña” e ingresa la cuenta de la víctima para proceder hasta el paso en que se envía un SMS con un código de verificación al teléfono que la víctima ha asociado previamente con su cuenta de correo.
-
A la víctima llegará un mensaje con algo como “Su código de verificación es 123456”. Es entonces cuando el atacante, desde un móvil desconocido para la víctima, le enviará un formal SMS a esta última solicitando que copie y responda con el código que hace un instante llegó a su móvil. Un texto posible:Hemos detectado una actividad sospechosa en tu cuenta por lo que, para confirmar tu identidad, debes responder a este mensaje con el código que hace unos instantes a tu móvil llegó.
-
La víctima responderá al SMS y claramente su mensaje de respuesta apuntará al teléfono del atacante, no al que Google ocupó para enviar el código de verificación.Como consecuencia, el atacante conseguirá dicho código de verificación en el teléfono que utilizó para enviar el SMS formal y lo único que le restará por hacer será ingresarlo al proceso de recuperación de cuenta, resetear la contraseña, poner una nueva y acceder al email, todo sin despeinarse.
3. Cómo evitar ser víctima de estos ataques
La
protección más sencilla ante este tipo de ataques es evitar a toda costa
responder mensajes o sobre mensajes que incluyen códigos de
verificación, entre otros detalles para la recuperación de cuentas,
pues Google ni otros servicios lo requieren.
Es lo mismo que
con la información bancaria y el phishing pues las entidades financieras nunca piden datos de
acceso a la cuenta personal a través de un email, en este caso, en vez de cuenta
bancaria se trata de la cuenta de correo personal y los SMS como medio de
comunicación.
Por otra parte, aunque
suene contradictorio por recurrir al mismo canal, la verificación en dos pasos
sigue siendo una capa extra para verificar la identidad, únicamente y sin falta,
cada vez que se trata de acceder a las cuentas personales desde otros
dispositivos, así que si aparece en el móvil un código de verificación sin
solicitarlo, bastará el sentido común para eliminarlo de inmediato.
0 comentarios:
Publicar un comentario