Pirateé el sitio world-wide-web de mi amigo después de un ataque de intercambio de SIM


A continuación, le mostramos con qué facilidad pueden robar su número de teléfono, por qué una estafa de intercambio de SIM exitosa es solo el comienzo de sus problemas y cómo puede evitar convertirse en víctima del ataque.

¿Qué tan fácil es realizar una Ataque de intercambio de SIM y ¿qué puede hacer el atacante una vez que haya tomado el regulate de su número de teléfono? En resumen, es preocupantemente fácil y los criminales pueden hacer mucho una vez que tienen las llaves del reino.

Escuchamos hablar del intercambio de SIM, también conocido como secuestro de SIM y estafas de intercambio de SIM, todo el tiempo y, sin embargo, muchas personas piensan que nunca les puede suceder. De hecho, la gente a menudo me dice que nunca serán pirateados de ninguna manera y que incluso se preguntan por qué alguien los atacaría. Pero la verdad es que somos parte de un juego de números enormes para muchos actores maliciosos y ellos continuarán apuntando a la fruta madura. Entonces, ¿por qué no implementamos algunos métodos de precaución para reducir este riesgo?

Volveré a lo que puede hacer para mitigar los riesgos más adelante, pero primero quiero contarles cómo probé un ataque de intercambio de SIM solo para poder generar una charla y ayudar a las personas a comprender los riesgos. Una historia de la vida real siempre es mejor cuando se ayuda a las personas a tener más conciencia cibernética. De hecho, realicé un experimento equivalent el año pasado cuando mostré lo fácil que es hackear la cuenta de WhatsApp de cualquier persona conociendo su número de teléfono. Fue una lección muy valiosa para el colega convertido en víctima.

Conozco a mi amigo, llamémosle Paul, desde la escuela y hemos sido amigos cercanos desde entonces. Le pregunté recientemente si podía intentar piratearlo éticamente por el bien común y usar cualquier cosa que provenga de él en nombre de la conciencia cibernética y para ayudar a proteger a las personas de futuros ataques. Estaba feliz de complacerlo e incluso pensó que sería divertido ser parte de un experimento.

Cómo funciona el intercambio de SIM

Todo lo que necesitaba para realizar la prueba era el nombre real y el número de teléfono de Paul. Paul es dueño de una agencia inmobiliaria que vende propiedades de lujo en una de las ubicaciones más caras del Reino Unido. Al igual que para muchas otras personas, sus datos de contacto se pueden encontrar en su sitio web, además de una buena investigación en Online a la antigua (o inteligencia de código abierto, también conocida como OSINT) pude encontrar mucho más.

Actuando como un verdadero actor de amenazas, grabé cualquier información sobre él que pudiera encontrar en línea, como lo haría un tercero, sin enviar ninguna solicitud de amistad o seguimiento en sus redes sociales. Aunque algunos malos actores podrían, de hecho, solicitar una conexión con sus objetivos, pensé que este experimento sería mejor si mantenía mi distancia, ya que de hecho sé mucho sobre él.

No tomó mucho tiempo encontrar una gran cantidad de información sobre él, especialmente a través de su feed público de Instagram y publicaciones abiertas en Facebook. Tenía muchas ganas de localizar fechas y números que significaran algo para él, así que busqué cumpleaños y cualquier otra cosa que pareciera de interés cronológico. Pronto encontré las fechas de nacimiento tanto de Paul como de su hijo solo necesitaba mirar varias publicaciones públicas que hizo en sus redes sociales antes, durante y después de sus cumpleaños. No hacía falta ser un genio para calcular los días exactos en que nació cada uno, así que anoté estas fechas de interés y pasé a la siguiente parte del experimento.

La mayoría de la gente en el Reino Unido united states una de las pocas compañías de telecomunicaciones, así que decidí comenzar con una. Bingo. Tuve suerte con la primera empresa, ya que period con la que estaba él. Después de revisar el sistema y ponerme en contacto con el agente muy útil, dije que period Paul y le di su número de teléfono correspondiente al que luego tuve que pasar seguridad. La seguridad para la mayoría de estas empresas de telecomunicaciones es demostrar quién es usted dando dos dígitos de un código PIN previamente acordado. Habrá muchas personas que memorizarán los números PIN de sus tarjetas de crédito o el código para desbloquear su teléfono, pero esto se debe en gran parte a la memoria muscular y a la necesidad de utilizar activamente estos códigos.

Sin embargo, dudo que mucha gente inicie sesión en la cuenta de su proveedor de telefonía con la frecuencia suficiente para haber memorizado este código. Por lo tanto, las personas caen en la trampa 1: usar un PIN que sea relevante y fácil de recordar para ellos mismos, como una fecha de nacimiento.

Que es exactamente lo que me resultó útil para mi experimento. No sé cuántas grietas se obtienen en los dígitos correctos, pero ciertamente es más de uno. Basta decir, entonces, que como parte del proceso de verificación primero envié «1» y «1» (el hijo de Paul nació en 2011). Estuvo mal, pero el servicial agente me dio otra oportunidad. Esta vez elegí «8» y «2» (Paul nació en 1982), a lo que su respuesta fue que pasé la seguridad y me pidieron que describiera mi problema con mayor detalle.

Di un relato detallado y angustiado de cómo me habían robado el teléfono, que era important que se detuviera la tarjeta SIM y que había comprado una nueva tarjeta SIM y, por lo tanto, necesitaba que la transfirieran. Tenía una nueva tarjeta SIM en la mano lista para colocar en un teléfono de repuesto. Le di a la agente el nuevo número SIM y ella dijo que mi número sería transferido en unas pocas horas.

En esta etapa, todo lo que Paul habría notado es que su señal de pink se habría interrumpido y no habría recibido ningún mensaje de texto en su teléfono. Todavía habría podido acceder a Internet si hubiera estado en Wi-Fi, que en realidad lo estaba, ya que estaba en la oficina cuando llamé a su proveedor de telefonía móvil.

Dos horas después de encender y apagar mi teléfono de repuesto varias veces, se me concedió acceso completo al número de Paul. Lo probé haciendo sonar mi teléfono desde mi teléfono de repuesto y, fiel a la palabra del agente, esta nueva SIM en mi teléfono de repuesto ahora actuaba como Paul, ya que su nombre apareció en mi teléfono cuando sonó. Aquí es donde realmente puede comenzar el peligro.

Las consecuencias del ataque

Sabía que period solo cuestión de tiempo antes de que Paul se diera cuenta de que algo estaba pasando, así que fui a su sitio world-wide-web y noté el anfitrión, que period un creador de sitios world-wide-web well-known. Pude usar su dirección de correo electrónico contra el enlace de «contraseña olvidada» (el botón favorito de un hacker) para enviar mi solicitud y ver qué pasaba.

Como es moderadamente consciente de los ciberataques, tenía configurada la autenticación de dos factores (2FA) pero para mi alegría, solo a través de SMS – trampa 2. Hice clic en las páginas correspondientes y en segundos recibí un código enviado por SMS a mi teléfono de repuesto. Ingresé esto en el sitio net y listo, tuve la oportunidad de cambiar su contraseña.

Potencialmente, podría haber continuado completando acciones similares en sus redes sociales y correo electrónico basado en la world-wide-web también, pero pensé que había dejado claro mi punto y decidí retractarme. Sin embargo, mientras estuve allí, pensé que sería divertido colocar una enorme foto policial sonriente de mí mismo en su página principal, lo que resultó en una charla interesante cuando lo llamé a su teléfono fijo para decirle que su sitio web actualizado se veía genial en este momento. No hace falta decir que estaba atónito con lo que vio, pero estaba más impresionado por la rapidez con la que había tomado el manage de su activo más valioso.

Cómo protegerse del fraude por intercambio de SIM

Cualquiera que lea esto ahora se estará preguntando cómo pueden proteger sus cuentas. Hay dos formas principales de frustrar los ataques de intercambio de SIM:

  • Nunca use nada vinculado a usted en sus códigos PIN o contraseñas.
  • Siempre que sea posible, reemplace la 2FA basada en SMS con una aplicación de autenticación o una clave de seguridad física.

Esto me habría impedido acceder a la cuenta de teléfono móvil de Paul, pero lo que es más importante, me habría impedido cambiar sus contraseñas. Una vez que estos son robados, los piratas informáticos pueden bloquear fácilmente a los titulares de cuentas genuinas de sus cuentas y puede ser extremadamente difícil o incluso imposible recuperar el handle sobre ellos. Las consecuencias pueden ser particularmente graves para sus cuentas bancarias, de correo electrónico y de redes sociales.

En cuanto a Paul, le devolví el acceso a su SIM y sitio web, lo ayudé a configurar una aplicación de autenticación y cambió el código PIN de su proveedor de telefonía móvil. También le ayudé a recordar este código enseñándole el formas de un administrador de contraseñas. Igual de importante, le aconsejé que dejar de compartir información personalized confidencial en las redes sociales y limitar el número de personas que pueden ver sus publicaciones u otro content allí.



Enlace a la noticia initial