15 jun 2016

Evadir la doble autenticación por SMS de Google

Una de las medidas de seguridad más recientes y eficaces para proteger nuestras cuentas online de accesos no autorizados es la doble autenticación (2FA). Esta medida de seguridad se basa en proteger nuestras cuentas con algo que sabemos (nuestra contraseña) y, a la vez, con algo que no sabemos, pero sí tenemos: un código aleatorio. De esta manera, si alguien se hace con nuestra contraseña, no podrá conseguir entrar sin el correspondiente código, el cual recibimos en nuestro smartphone en el momento de iniciar sesión.

Siempre se ha dicho que una de las mayores vulnerabilidades de los sistemas informáticos es el propio factor humano, y una vez más es así. Un grupo de delincuentes ha empezado a llevar a cabo una campaña de ingeniería social, de manera que han logrado incluso evadir la doble autenticación por SMS, una de las formas con la que Google protege sus cuentas.Este tipo de sistema ya se había visto comprometido anteriormente.

Esta técnica de ataque no es nueva se basa en enviar un SMS previo al usuario donde se le indica que se ha detectado actividad sospechosa en su cuenta y se le pide que conteste al SMS con el código de 6 dígitos que le llegará en unos segundos (el código de la 2FA) de manera que su cuenta no sea bloqueada.
Cuando el usuario cae en la trampa y envía el mensaje, los delincuentes se hacen con el código de la doble autenticación, el cual les brinda acceso completo a la cuenta de la víctima.

La doble autenticación es segura, pero la ingeniería social expone su seguridad

Estos nuevos ataques de ingeniería social son los más complejos vistos hasta ahora. Además, para poder llevar a cabo este ataque informático los atacantes deben conocer tanto la cuenta de Google como el número de teléfono de la víctima, aunque esto no es algo demasiado complicado debido a las redes sociales, incluso al gran número de datos filtrados que circula por la Deep Web.

Por suerte, Alex MacCaw, cofundador de Clearbit y quien ha descubierto y hecho público este vector de ataque informático, es capaz de reconocer sin problemas estos ataques de ingeniería social, sin embargo, no todos los usuarios son capaces de hacerlo y, gracias a que el SMS está bastante trabajado (incluso está dirigido personalmente a la víctima) es probable que muchas víctimas no sean capaces de ver la estafa, piensen que la estafa es real y manden a los piratas informáticos el código de la 2FA que les brinde acceso a la cuenta.

Fuente: RedesZone

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!