17 mar 2021

Cómo conseguir los SMS de cualquiera por U$S16 y porqué NO usar SMS como 2FA

Un hacker consiguió todos los mensajes de texto de un periodista por U$S16. Una falla enorme en el manejo de los SMS permite a los delincuentes informáticos hacerse con los números de teléfono de cualquiera en minutos, simplemente pagando a una empresa para que redirija los mensajes de texto.

Lucky225, el seudónimo del hacker que llevó a cabo el ataque a Motherboard/Vice, describiendo lo fácil que es obtener acceso a las herramientas necesarias para apoderarse del teléfono. Lucky225 se apoderó del número de teléfono de un periodista e ingresó a las cuentas conectadas con su permiso, solo para demostrar la falla.

"No esperaba que fuera tan rápido. Mientras estaba en una llamada de Google Hangouts con un colega, el hacker me envió capturas de pantalla de mis cuentas de Bumble y Postmates, en las que había ingresado", dijo Joseph Cox, el periodista que realizó la investigación.

"Luego demostró que había recibido mensajes de texto que estaban destinados a mí y que él había interceptado. Más tarde también se hizo cargo de mi cuenta de WhatsApp y le envió un mensaje de texto a un amigo haciéndose pasar por mí. Mirando mi teléfono, no había señales de que hubiera sido hackeado. Todavía tenía recepción; el teléfono decía que todavía estaba conectado a la red T-Mobile. Allí no había nada inusual. Pero el atacante había redirigido rápida, sigilosamente y en gran medida sin esfuerzo mis mensajes de texto a sí mismos".

Y todo por solo U$S 16

No habían cambiado la SIM (SIM Swapping), el ataque donde los delincuentes engañan o sobornan a los empleados de telecomunicaciones para que transfieran el número de teléfono de un objetivo a su propia tarjeta SIM.

En cambio, este delincuente utilizó un servicio de una empresa llamada Sakari, que ayuda a las empresas a realizar marketing por SMS y mensajería masiva, para redirigir mis mensajes hacia él.

Para las empresas, enviar mensajes de texto a cientos, miles o quizás millones de clientes puede ser una tarea laboriosa. Sakari agiliza ese proceso al permitir que los clientes comerciales importen su propio número. Existe un amplio ecosistema de estas empresas, cada una publicitando su propia capacidad para ejecutar mensajes de texto para otras empresas. Algunas empresas dicen que solo permiten a los clientes desviar mensajes para teléfonos fijos comerciales o teléfonos VoIP, mientras que otras también permiten números móviles.

Este vector de ataque que se pasa por alto muestra no solo lo no reguladas que están las herramientas de SMS comerciales, sino también cómo hay grandes lagunas en nuestra infraestructura de telecomunicaciones, y un delincuentes a veces solo tiene que jurar con el dedo meñique que tiene el consentimiento del objetivo.

Esto tampoco depende de la explotación de SS7, donde atacantes más sofisticados aprovechan la columna vertebral de la industria de las telecomunicaciones para interceptar mensajes sobre la marcha.

Lo que Lucky225 hizo con Sakari es más fácil de lograr y requiere menos habilidades o conocimientos técnicos. A diferencia del secuestro de SIM, donde una víctima pierde el servicio celular por completo, e teléfono de la víctima parece normal, excepto que nunca recibe los mensajes destinados a él y sólo los recibe el atacante.

Una vez que el delincuente informático puede desviar los mensajes de texto de un objetivo, puede ser trivial piratear otras cuentas asociadas con ese número de teléfono. En este caso, envió solicitudes de inicio de sesión a Bumble, WhatsApp y Postmates, y accedió fácilmente a las cuentas.

"Usé una tarjeta prepaga para comprar su plan de U$S16 por mes y esto me permitió robar números con solo completar la información de la LOA con información falsa", agregó Lucky225, refiriéndose a una Carta de Autorización, un documento que dice que el el firmante tiene autoridad para cambiar números de teléfono.

La empresa de seguridad cibernética Okey Systems, donde Lucky225 es Director de Información, ha lanzado una herramienta que las empresas y los consumidores pueden utilizar para detectar este ataque y otros tipos de apropiación de números de teléfono.

El método de ataque, que no se ha informado ni demostrado previamente en detalle, tiene implicaciones para el delito cibernético, donde los delincuentes a menudo se apoderan de los números de teléfono de los objetivos para acosarlos, vaciar su cuenta bancaria o destrozar sus vidas digitales.

El ataque también plantea problemas en torno a la seguridad privada, corporativa y nacional, donde una vez que un delincuente informático se establece en el número de teléfono de la víctima, es posible que pueda interceptar información confidencial o secretos personales.

No es difícil ver la enorme amenaza a la seguridad que representa este tipo de ataque. La FCC debe usar su autoridad para obligar a las compañías telefónicas a proteger sus redes de los delincuentes informáticos.

"El enfoque de autorregulación de la industria claramente fracasó", dijo el Senador Ron Wyden en un comunicado después de que Motherboard explicara el ataque.

Fuente: VICE | Lucky225

Suscríbete a nuestro Boletín

3 comentarios:

  1. Sobre la nota, la verdad es que no dice en concreto cual fue la forma de ataque, por lo que estoy leyendo todo termina en un tema de soborno a gente interna de la telco o a algun actor de la cadena de suministro de esa telco, si no se trata de SimSwap ni es un ataque a la red de señalizacion SS7 en un contexto donde esa operadora no tenga proteccion con FWs de señalizacion, no se conoce al dia de hoy otra manera que ocurra esto que teniendo "como socio" a alguien interno que actue mal, alguien que con autorizaciones que entrega la compania para su funcion haya actuado fraudelentamente. Saludos

    ResponderBorrar
    Respuestas
    1. Hola Marcos, un gusto verte por aquí :)
      Como bien decis, el informe (en ingles) no cuenta completamente el ataque pero el caso parece ser real, así como la PoC realizada utilizando una empresa de mkt, motivo por la cual se informó a la FCC.
      Coincido contigo en lo planteado sobre SimSwap (que en AR ocurre bastante) y SS7 pero veremos como avanza esto.

      Gracias

      Borrar
  2. El robo de datos por hacker es usual en todas las redes sociales para sobornar y causar daños a empresarios, civiles y personas de vida social publica, debemos cuidar nuestros datos y denunciar este tipo de actos a las autoridades que correspondan.

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!