Cómo un ataque de phishing frustró a MFA para robar dinero de los clientes de Coinbase


Una falla en la configuración de Coinbase de MFA basada en SMS permitió a los atacantes comprometer una gran cantidad de cuentas.

cryptocurrency.jpg

Imagen: Wit Olszewski / Shutterstock

Los expertos en seguridad siguen diciéndonos que usemos la autenticación de múltiples factores siempre que sea posible para proteger mejor nuestras cuentas y credenciales en línea. Pero lo que no siempre enfatizan es que el tipo de MFA que adoptas marca la diferencia en si estás realmente protegido o no. Y esa lección se aprendió a través de un reciente ataque de phishing que robó dinero de los clientes de Coinbase.

VER: Proteja sus datos con autenticación de dos factores (PDF gratuito) (TechRepublic)

Coinbase es el segundo servicio de intercambio de criptomonedas más grande del mundo, con cuentas de alrededor de 68 millones de usuarios de más de 100 países de todo el mundo.

En una publicación de blog reciente y un correo electrónico a los clientes afectados, la empresa reveló que se observó una campaña de phishing entre Abril y principios de mayo de 2021 obtuvieron acceso no autorizado a las cuentas de al menos 6,000 clientes. Los atacantes pudieron mover fondos de Coinbase a sus propias cuentas, robando así una gran cantidad de dinero en forma de criptomoneda.

Haciéndose pasar por Coinbase, uno de los mensajes de phishing le dijo al usuario que alguien más pudo haber tenido acceso a su cuenta, lo que provocó que Coinbase la bloqueara. Para desbloquear su cuenta, el usuario necesitaba pasar una prueba de seguridad. Luego apareció una página de suplantación de identidad de Coinbase pidiéndole a la persona que inicie sesión con sus credenciales de inicio de sesión.

Después de obtener acceso a la bandeja de entrada de la víctima y a la cuenta de Coinbase, los atacantes en algunos casos usaron esa información para hacerse pasar por el usuario, obtener un código de autenticación de dos factores basado en SMS y acceder a la cuenta de Coinbase de la persona. A partir de ahí, fue muy sencillo para el ciberdelincuente recoger los fondos de la cuenta de la víctima.

Para secuestrar la cuenta de un cliente, los atacantes necesitaban saber la dirección de correo electrónico, la contraseña y el número de teléfono de la persona, así como obtener acceso a su bandeja de entrada de correo electrónico. Coinbase dijo que no encontró evidencia de que los atacantes obtuvieran esta información de la compañía. Más bien, los ataques de phishing fueron la fuente más probable.

VER: Cómo administrar las contraseñas: mejores prácticas y consejos de seguridad (PDF gratuito) (TechRepublic)

Coinbase agregó que después de enterarse del ataque, la compañía comenzó a trabajar con proveedores de seguridad externos para eliminar los dominios y sitios web utilizados en la campaña de phishing. También alertó a los proveedores de servicios de correo electrónico más afectados por el ataque.

En su correo electrónico a los clientes afectados, Coinbase dijo que depositaría fondos en sus cuentas iguales al valor de la moneda que fue robada. La compañía también estableció un número de teléfono exclusivo, 1-844-613-1499, al que los clientes afectados podían llamar si tenían preguntas o inquietudes sobre el ataque. Además, Coinbase dijo que ofrecería monitoreo de crédito gratuito a los afectados.

Aunque el ataque funcionó engañando a los usuarios con un mensaje de phishing, Coinbase tiene un nivel central de responsabilidad.

«Tan complicado como suena y es este truco, es aún más asombroso lo laxos que eran los protocolos de seguridad», dijo Purandar Das, presidente y cofundador del proveedor de seguridad basada en cifrado Sotero. «Desde permitir que los piratas informáticos operen durante meses, permitirles robar las credenciales de los clientes, hasta invalidar la MFA, no parece que se haya hecho mucho bien desde una perspectiva de seguridad».

Para iniciar sesión en sus cuentas de Coinbase, se solicita a los clientes que configuren un método específico de autenticación de dos factores. Las opciones incluyen un mensaje de texto SMS, una aplicación de autenticación o una clave de seguridad física. Pero quienes optaron por los SMS tomaron la decisión equivocada. En su publicación, Coinbase admitió una falla en su proceso de recuperación de cuentas por SMS, una falla que los atacantes pudieron explotar para obtener acceso a ciertas cuentas.

Entre las diversas variantes de MFA o 2FA, la autenticación basada en SMS se considera la menos segura y la más fácil de frustrar. Por esa razón, Coinbase ahora insta a las personas a adoptar uno de los otros métodos,

«Mucha gente elige usar SMS 2FA, porque está vinculado a un número de teléfono, en lugar de a un dispositivo en unique, y generalmente es el más fácil de configurar y usar», dijo Coinbase. «Desafortunadamente, ese mismo nivel de conveniencia también hace que sea más fácil para los atacantes persistentes interceptar sus códigos 2FA. Recomendamos encarecidamente a todos los que actualmente usan SMS como método de autenticación secundario a actualizar a métodos más fuertes como Google Authenticator o una llave de seguridad en todos los lugares donde se admite. . «

Más allá de cambiar a un método de autenticación más fuerte, se insta a todos los usuarios de Coinbase a que cambien sus contraseñas si aún no lo han hecho.

Ver también



Enlace a la noticia authentic