El auge de los bots de interceptación de contraseñas de un solo uso: Krebs on Safety


En febrero, KrebsOnSecurity escribió sobre un nuevo servicio de ciberdelincuencia que ayudó a los atacantes a interceptar las contraseñas de un solo uso (OTP) que muchos sitios world wide web requieren como segundo aspect de autenticación además de las contraseñas. Ese servicio se desconectó rápidamente, pero una nueva investigación revela que varios competidores han lanzado servicios basados ​​en bots que facilitan relativamente a los delincuentes el robo de OTP de los objetivos.

Un anuncio para el servicio / bot de interceptación de OTP «SMSRanger».

Muchos sitios net ahora requieren que los usuarios proporcionen una contraseña y un código numérico / token OTP enviado por mensaje de texto, o uno generado por aplicaciones móviles como Authy y Autenticador de Google. La plan es que incluso si la contraseña del usuario es robada, el atacante aún no puede acceder a la cuenta del usuario sin ese segundo aspect, es decir, sin acceso al dispositivo móvil o al número de teléfono de la víctima.

El servicio de interceptación OTP presentado a principios de este año: Otp[.]agencia – anunció un bot basado en la website diseñado para engañar a los objetivos para que renuncien a los tokens OTP. El cliente ingresaría el número de teléfono y el nombre de un objetivo, y la Agencia OTP iniciaría una llamada telefónica automatizada que alerta a esa persona sobre la actividad no autorizada en su cuenta.

La llamada pedía al objetivo que ingresara un token de OTP generado por la aplicación móvil de su teléfono («con fines de autenticación»), y ese código luego se retransmitía al panel de clientes malos en el sitio world wide web de la Agencia de OTP.

La Agencia OTP se desconectó a las pocas horas de esa historia. Pero según una investigación de la firma de inteligencia cibernética Intel 471, han surgido múltiples nuevos servicios de interceptación de OTP para llenar ese vacío. Y todos operan a través de Telegrama, un sistema de mensajería instantánea basado en la nube.

«Intel 471 ha experimentado un aumento en los servicios en el ciberdelito clandestino que permite a los atacantes interceptar tokens de contraseña de un solo uso (OTP)», escribió la compañía en una publicación de site hoy. “En los últimos meses, hemos visto a los actores brindar acceso a servicios que llaman a las víctimas, aparecen como una llamada legítima de un banco específico y engañan a las víctimas para que escriban una OTP u otro código de verificación en un teléfono móvil con el fin de capturar y entregar los códigos al operador. Algunos servicios también se dirigen a otras plataformas de redes sociales populares o servicios financieros, proporcionando capacidades de phishing de correo electrónico e intercambio de SIM «.

Intel471 dice que un nuevo bot de Telegram OTP llamado «SMSRanger”Es common porque es muy fácil de usar, y probablemente debido a los numerosos testimonios publicados por clientes que parecen contentos con su frecuente tasa de éxito en la extracción de tokens OTP cuando el atacante ya tiene la información personal“ fullz ”del objetivo, como el Seguro Social. número y fecha de nacimiento. De su análisis:

“Aquellos que pagan por el acceso pueden usar el bot ingresando comandos similares a como se usan los bots en la common herramienta de colaboración de la fuerza laboral Slack. Un comando de barra simple permite al usuario habilitar varios ‘modos’ (scripts destinados a varios servicios) que pueden apuntar a bancos específicos, así como a PayPal, Apple Fork out, Google Pay o un proveedor de servicios inalámbricos.

Una vez que el número de teléfono de un objetivo ha sido ingresado, el bot hace el resto del trabajo y, en última instancia, otorga acceso a cualquier cuenta a la que se haya dirigido. Los usuarios afirman que SMSRanger tiene una tasa de eficacia de alrededor del 80% si la víctima respondió la llamada y la información completa (fullz) que el usuario proporcionó fue precisa y actualizada «.

Otro servicio de interceptación de OTP llamado SMS Buster requiere un poco más de esfuerzo por parte del cliente, explica Intel 471:

“El bot ofrece opciones para disfrazar una llamada y hacerla aparecer como un contacto legítimo de un banco específico mientras permite que los atacantes elijan marcar desde cualquier número de teléfono. A partir de ahí, un atacante podría seguir un guión para engañar a la víctima para que proporcione detalles confidenciales, como un número de identificación own (PIN) de cajero automático, valor de verificación de tarjeta (CVV) y OTP, que luego podría enviarse a la cuenta de Telegram de una persona. El bot, que fue utilizado por atacantes que apuntaban a víctimas canadienses, brinda a los usuarios la oportunidad de lanzar ataques en francés e inglés «.

Estos servicios están surgiendo porque funcionan y son rentables. Y son rentables porque demasiados sitios web y servicios canalizan a los usuarios hacia métodos de autenticación multifactor que pueden ser interceptados, falsificados o mal dirigidos, como códigos únicos basados ​​en SMS o incluso tokens OTP generados por aplicaciones.

La idea detrás de la verdadera «autenticación de dos factores» es que se requiere que el usuario presente dos de tres de los siguientes: Algo que tiene (dispositivos móviles) algo que saben (contraseñas) o algo que son (biometría). Por ejemplo, presenta sus credenciales en un sitio world-wide-web y el sitio le solicita que apruebe el inicio de sesión a través de un mensaje que aparece en su dispositivo móvil registrado. Esa es la verdadera autenticación de dos factores: algo que tienes y algo que sabes (y quizás también algo que eres).

El bot 2fa SMS Buster en Telegram. Imagen: Intel 471.

Además, estos métodos de «notificación automática» incluyen importantes contextos basados ​​en el tiempo que añaden seguridad: ocurren directamente después de que el usuario envía sus credenciales y la oportunidad de aprobar la notificación drive caduca después de un breve período.

Pero en muchos casos, lo que los sitios solicitan son básicamente dos cosas que usted sabe (una contraseña y un código de un solo uso) que deben enviarse a través del mismo canal (un navegador net). Por lo common, esto sigue siendo mejor que ninguna autenticación multifactor, pero como muestran estos servicios, ahora hay muchas opciones para eludir esta protección.

Espero que estos servicios de interceptación de OTP dejen en claro que nunca debe proporcionar ninguna información en respuesta a una llamada telefónica no solicitada. No importa quién dice estar llamando: si no inició el contacto, cuelgue. No los ponga en espera mientras llama a su banco los estafadores también pueden evitar eso. Solo cuelga. Entonces puedes llamar a tu banco oa quien necesites.

Desafortunadamente, las personas con más probabilidades de caer en estos esquemas de interceptación de OTP son las personas que tienen menos experiencia con la tecnología. Si usted es un fanático de TI residente o common y tiene la capacidad de actualizar o mejorar los perfiles de autenticación de múltiples factores para sus amigos y seres queridos menos conocedores de la tecnología, esa sería una manera fabulosa de demostrar que se preocupa y de ayudarlos Evite un desastre potencial a manos de uno de estos servicios de bot.

¿Cuándo fue la última vez que revisó sus configuraciones y opciones de múltiples factores en los distintos sitios internet a los que se les ha confiado su información individual y financiera más valiosa? Podría valer la pena visitar 2fa.directorio (anteriormente dos factorauth[.]org) para un chequeo.



Enlace a la noticia primary