Los datos robados dan a los atacantes una ventaja frente a la 2FA basada en texto



Las empresas que confían en los textos como segundo component de autenticación están poniendo en riesgo a alrededor del 20 % de sus clientes porque la información necesaria para atacar el sistema está disponible en bases de datos comprometidas para la venta en la Dim World wide web.

Aproximadamente mil millones de registros sintetizados a partir de bases de datos en línea, que representan aproximadamente uno de cada cinco usuarios de teléfonos móviles en el mundo, contienen nombres de usuarios, direcciones de correo electrónico, contraseñas y números de teléfono. Esto brinda a los atacantes todo lo que necesitan para realizar ataques de phishing basados ​​en SMS, también conocidos como smishing, dice Thomas Olofsson, CTO de la firma de ciberseguridad FYEO.

Los expertos en ciberseguridad saben desde hace mucho tiempo que agregar una contraseña de un solo uso por SMS es una forma débil de autenticación de dos factores y la forma más simple de autenticación de dos factores para que los atacantes se comprometan. Sin embargo, combinar tales ataques con la información fácilmente disponible sobre los usuarios create una «tormenta perfecta» para atacar cuentas, dice.

En Black Hat Usa, Olofsson planea repasar los hallazgos de la investigación del problema durante una sesión el miércoles 10 de agosto, llamado «Smishmash: suplantación de identidad 2FA basada en texto mediante OSINT, técnicas de phishing y un teléfono quemador».

«La investigación que hemos realizado consta de dos partes: cómo eludir 2FA y cuántos números de teléfono podemos vincular a una dirección de correo electrónico y una contraseña», le dice a Darkish Reading through. «Entonces, para aproximadamente una de cada cinco, mil millones de personas, podemos conectar su dirección de correo electrónico con su número de teléfono, y eso es realmente malo».

El análisis encontró que al recopilar información de bases de datos conocidas de nombres de usuario y contraseñas comprometidos, los investigadores podrían crear una base de datos de 22 mil millones de credenciales. Vincular esas credenciales a un número de teléfono redujo la exposición a un poco más de mil millones de registros, de los cuales aproximadamente la mitad se han verificado.

Para hacer uso de esos registros, los atacantes pueden realizar un ataque de adversario en el medio, donde el ataque de smishing se dirige a un proxy. Cuando un usuario objetivo abre un enlace en un mensaje SMS malicioso en un dispositivo móvil, los navegadores en iOS y Android rara vez muestran información de seguridad, como la URL, ya que el espacio en pantalla es muy pequeño. Debido a eso, se presentan pocas señales del ataque al usuario, si es que hay alguna, lo que hace que los ataques sean mucho más efectivos, dice Olofsson.

Además, los ataques de smishing tienen siete veces más probabilidades de éxito que los ataques de phishing realizados a través del correo electrónico, dice.

«Hace que sea extremadamente probable que alguien haga clic en el enlace», dice Olofsson. «Incluso miro nuestros ataques y dije, wow, podría caer en esto».

Los atacantes han usado smishing para comprometer cuentas financieras, especialmente aquellas vinculadas a intercambios de criptomonedas, durante los últimos dos años, con más de $ 1.6 mil millones en criptomonedas robadas hasta ahora en 2022, según un análisis publicado en mayo.

SMS para 2FA: Negocios arriesgados

Mientras tanto, el gobierno federal de EE. UU. ya ha impuesto restricciones adicionales a cualquier uso de SMS para un segundo aspect de autenticación. En 2016, el Instituto Nacional de Estándares y Tecnología (NIST) advirtió contra el uso de contraseñas de un solo uso enviadas como mensajes de texto como segundo element para autenticar a los usuarios.

«Un SMS enviado desde un teléfono móvil puede cambiar sin problemas a un mensaje de Internet enviado a, por ejemplo, un número de teléfono de Skype o Google Voice. Los usuarios no deberían tener que notar la diferencia cuando presionan enviar, eso es parte de la magia de Net. Pero es importante para la seguridad», NIST escribió en una explicación de la políticaagregando: «Si bien una contraseña junto con SMS tiene un nivel de protección mucho más alto en relación con las contraseñas solas, no tiene la fuerza de los mecanismos de autenticación de dispositivos inherentes a los otros autenticadores permitidos» según las pautas del NIST.

Para que sea menos probable que tales ataques tengan éxito, los usuarios deben ignorar cualquier notificación que llegue a través de SMS y, en su lugar, iniciar sesión directamente en su cuenta.

«Nunca confíes en un mensaje SMS», dice Olofsson. «Si siente que algo está mal, no haga clic en él, no confíe en él. Vaya a una computadora y vea si tiene un correo electrónico, porque al menos puede verificar los encabezados».

Desafortunadamente, muchas instituciones financieras y otras empresas dificultan que los usuarios implementen una mejor seguridad porque solo ofrecen SMS como una opción para el segundo issue de autenticación. Agregar comprobaciones de reCAPTCHA puede dar a los usuarios una pista de que algo anda mal, señala Olofsson, porque cualquier ataque de adversario en el medio mostrará el servidor proxy, no la dirección IP del usuario.



Enlace a la noticia primary