Cómo los intercambiadores de SIM pueden …



La verdadera vulnerabilidad en el corazón de los ataques de intercambio de SIM en cuentas de cifrado radica en la implementación variable de 2FA de los intercambios de cifrado y los proveedores de correo electrónico.

Recientemente, compartí con ustedes lo alarmantemente uncomplicated que era no solo «hackear» mi propia cuenta de correo electrónico sino también usar esa cuenta comprometida para hackear mis otras cuentas en línea. Dado que los ataques de intercambio de SIM en los intercambios de criptomonedas se intensificaron en 2019, quería comprender mejor estos atracos bancarios modernos a medida que avanzamos en el nuevo año. Mi presentimiento era que los intercambiadores de SIM usaban números de teléfono secuestrados como un juego de llaves para abrir puertas cerradas en un mundo de cuentas criptográficas en línea. ¿Tendría yo (o un pirata informático) el mismo éxito pirateando mis cuentas de intercambio de cifrado utilizando solo mi número de teléfono?

El primer paso para hackear mis cuentas de criptomonedas fue obtener acceso a mi cuenta de correo electrónico particular con solo un número de teléfono. Como hice en mi primer experimento de «piratería», elegí la opción «Olvidé mi contraseña» en mi cuenta de Yahoo y pude restablecer la contraseña usando solo mi nombre de usuario disponible públicamente (mi dirección de correo electrónico) y un código de SMS enviado a mi teléfono móvil .

El hecho de que solo necesitaba escribir el código de SMS enviado a mi teléfono móvil indica que la autenticación de un solo factor estaba aquí, no la autenticación de dos factores (2FA). 2FA es la práctica de autenticarse en una cuenta usando (1) algo que sabes, (2) algo que tienes o (3) algo que eres (biometría). En el caso del código SMS, simplemente tenía que escribir «algo que tenía» sin un segundo component que probara mi identidad. Esto significa que un pirata informático que cambió mi número de teléfono SIM podría restablecer mi cuenta de correo electrónico en cuestión de minutos, aunque agregué mi número a estas cuentas para seguridad adicional. (Puede leer más sobre cómo funciona el intercambio de SIM en mi experimento anterior).

Después de restablecer mi contraseña de correo electrónico con un código SMS enviado a mi número de teléfono (que podría haberse cambiado a un pirata informático), el siguiente paso consistió en usar ese acceso de correo electrónico para identificar y restablecer contraseñas en mis cuentas de criptomonedas. Para un cibercriminal, el objetivo last es transferir bitcoin u otros activos criptográficos a la billetera criptográfica del atacante.

Navegué a mi primera cuenta de criptomonedas (llamémosla Cuenta # 1), ingresé mi dirección de correo electrónico disponible públicamente como mi nombre de usuario y elegí la opción «Olvidé mi contraseña». La cuenta n. ° 1 envió un mensaje de correo electrónico a mi cuenta de Yahoo ahora «pirateada». Pude hacer clic en el enlace de restablecimiento de contraseña, ingresar un código SMS desde mi teléfono móvil (intercambiado por SIM) y cambiar la contraseña en la cuenta n. ° 1.

Intenté la misma técnica con mi segunda cuenta de intercambio de cifrado (Cuenta # 2). Esta cuenta ofreció la opción para 2FA basado en aplicaciones (como Google Authenticator), pero lo desactivé a favor de la autenticación de contraseña tradicional. Dada esta configuración, cuando hice clic en «Olvidé mi contraseña», recibí un simple enlace de restablecimiento de contraseña a mi cuenta de Yahoo (pirateada) que me permitió establecer una nueva contraseña y obtener acceso completo a la Cuenta # 2.

En este punto, obtuve acceso a una cuenta de correo electrónico y dos cuentas de criptomonedas en aproximadamente 10 minutos o menos. Estos pasos demuestran cómo un atacante que recibe mensajes de texto a un número móvil comprometido podría hacerse cargo de las cuentas de correo electrónico y acceder fácilmente a los fondos de cifrado. Si hubiera sido un atacante, podría haber transferido rápidamente activos criptográficos de mis cuentas de intercambio a una serie de otras billeteras criptográficas y sitios de lavado que canalizarían el dinero a través de varias rutas imposibles de rastrear. Esto dejaría a la víctima con pocos recursos para recuperar los activos robados.

Algunas plataformas de criptomonedas tienen mecanismos incorporados para evitar que un intercambio de SIM facilite un compromiso tan rápido de las cuentas. Por ejemplo, un intercambio en el que abrí una cuenta (Cuenta # 3) permite la autenticación de un solo factor, pero implementa un período de bloqueo de 24 horas antes de que se restablezca la contraseña. Esto efectivamente agota los intercambiadores de SIM que tienen una ventana corta para vaciar las cuentas antes de que el propietario robado recupere el número robado.

Esta tabla destaca la variabilidad en las opciones de seguridad de autenticación de SMS que ofrecen los intercambios de cifrado:

Crypto Exchange

Autenticación

Restablecimiento de contraseña

Cuenta # 1

2FA basado en aplicaciones / opcional

Enlace de correo electrónico + código de SMS

Cuenta # 2

2FA basado en aplicaciones / opcional

Enlace de correo electrónico

Cuenta # 3

Verificación de un solo aspect (creds) / IP

Período de espera de 24 horas

Como aprendí de primera mano, varios intercambios aún permiten el restablecimiento de contraseñas a través de un enlace enviado a una cuenta de correo electrónico, que podría ser pirateado fácilmente por un intercambiador de SIM que controla un número de teléfono. La mayoría de los intercambios ofrecen 2FA más fuertes basadas en aplicaciones para restablecer contraseñas, pero muchas aún permiten a los usuarios predeterminar la autenticación de element único más débil. Por ejemplo, mi cuenta n. ° 2 usó 2FA por defecto durante el registro, pero los usuarios pueden iniciar sesión antes de habilitar esta configuración.

Del mismo modo, si bien la cuenta n. ° 1 ofrece formas más seguras de 2FA, como las opciones basadas en aplicaciones, también permite a los usuarios optar por la configuración de autenticación basada en SMS que creó la vulnerabilidad en este experimento. Las cuentas bancarias tradicionales generalmente requieren una autenticación más profunda para restablecer una contraseña, como un número de Seguro Social o preguntas de seguridad. Hasta que las cuentas de criptomonedas implementen requisitos de restablecimiento de contraseña similares, los intercambiadores de SIM continuarán apuntando a estas cuentas de intercambio utilizando las técnicas descritas anteriormente.

Está claro que la verdadera vulnerabilidad en el corazón de los ataques de intercambio de SIM en cuentas criptográficas radica en la implementación variable de 2FA de los intercambios de cifrado y los proveedores de correo electrónico. Hasta que todos los intercambios de cifrado fuercen la implementación de 2FA más seguras basadas en aplicaciones, estas vulnerabilidades continuarán permitiendo ataques de intercambio de SIM contra cuentas de cifrado.

Contenido relacionado:

Nicole Sette es directora en la práctica de riesgo cibernético de Kroll, una división de Duff & Phelps. Nicole es un profesional certificado en seguridad de sistemas de información (CISSP) con 15 años de experiencia en investigaciones y análisis técnicos de inteligencia cibernética. Nicole sirvió … Ver biografía completa

Más ideas





Enlace a la noticia first