Llegamos a ustedes gracias a:



Alertas de Seguridad

Los ciberdelincuentes se saltan el 2FA y el OTP

Con robocalls y bots de Telegram

[29/09/2021] La autenticación de dos factores (2FA) ha sido ampliamente adoptada por los servicios en línea en los últimos años, y activarla es probablemente lo mejor que los usuarios pueden hacer por la seguridad de su cuenta en línea. Ante este obstáculo adicional que les impide explotar las contraseñas robadas, los ciberdelincuentes también han tenido que adaptarse y han ideado formas innovadoras de extraer los códigos de autenticación de un solo uso de los usuarios.

Según un nuevo informe de la empresa de inteligencia en materia de ciberdelincuencia Intel 471, el último avance en la evasión de la 2FA consiste en el uso de robocalls con mensajes interactivos que pretenden engañar a los usuarios para que entreguen sus contraseñas de un solo uso (OTP) en tiempo real, mientras los atacantes intentan acceder a sus cuentas. Todo esto se automatiza y controla mediante el uso de bots basados en Telegram, de forma similar a como los equipos de las organizaciones utilizan bots de Slack para automatizar los flujos de trabajo.

"Todos los servicios que Intel 471 ha observado, que solo han estado en funcionamiento desde junio, operan a través de un bot de Telegram o proporcionan soporte a los clientes a través de un canal de Telegram", dijeron los investigadores. "En estos canales de soporte, los usuarios suelen compartir su éxito mientras usan el bot, a menudo saliendo con miles de dólares de las cuentas de las víctimas".

Ingeniería social automatizada por bots

En el fondo se trata de ataques de ingeniería social con un alto nivel de automatización. En el pasado, un atacante llamaba manualmente a una víctima para obtener su información o a la línea de atención al cliente de un banco o proveedor de servicios para obtener acceso no autorizado a una cuenta; esto ha pasado a ser llamadas con scripts realizadas por bots basados en comandos dados en un chat de Telegram.

Los servicios vistos por Intel 471 tienen "modos" o scripts predefinidos para hacerse pasar por varios bancos conocidos, así como servicios de pago en línea como Google Pay, Apple Pay, PayPal y compañías de telefonía móvil. Desde que empezaron a investigar, los investigadores han visto un servicio llamado SMS Buster que puede hacer llamadas tanto en inglés como en francés, y que se utiliza para acceder ilegalmente a cuentas de ocho bancos diferentes con sede en Canadá.

Otro servicio llamado SMSRanger afirma tener un porcentaje de éxito de alrededor del 80% si la víctima responde a la llamada y el atacante suministra al bot información personal precisa y actualizada sobre las víctimas. También conocidos como "fullz" en los círculos de la ciberdelincuencia, estos conjuntos de datos pueden adquirirse en diversos foros y mercados clandestinos.

Los bots emulan eficazmente a los proveedores de servicios de las víctimas

La alta tasa de éxito es algo sorprendente. Normalmente, con los esquemas 2FA u OTP utilizados para la autenticación de cuentas o la autorización de transacciones en el espacio bancario, el usuario puede ser contactado por un servicio automatizado a través de una llamada telefónica para recibir su código único de uso. Sin embargo, estos servicios de ciberdelincuencia lo hacen al revés: Se ponen en contacto con las víctimas para pedirles que introduzcan los OTP que acaban de recibir a través de un SMS o algún otro medio de su proveedor de servicios legítimo.

Esto debería ser una petición y un proceso inusual para la mayoría de los usuarios que debería hacer saltar las alarmas. Sin embargo, estos bots hacen un buen trabajo haciéndose pasar por el proveedor de servicios de la víctima. La mayoría de ellos tienen capacidades de suplantación de números de teléfono y el atacante puede especificar el número de teléfono que quiere que el bot utilice cuando llame a la víctima. Por lo general, se trata de un número asociado al banco o al operador de la víctima.

Si los teléfonos de las víctimas muestran un identificador de llamadas en el que las víctimas confían y reconocen, es más probable que accedan a la petición. Además, el robot tendrá información personal sobre ellos que el atacante cargó, añadiendo otra capa de credibilidad.

Además de la robollamada, algunos de estos servicios también pueden automatizar los ataques a través de correo electrónico o SMS, y ofrecer paneles de phishing dirigidos a cuentas de redes sociales como Facebook, Instagram y Snapchat; servicios financieros como PayPal y Venmo; o aplicaciones de inversión como Robinhood o Coinbase. Los ciberdelincuentes pagan cuotas mensuales que oscilan entre decenas y cientos de dólares por utilizar los bots, lo cual es un precio pequeño si se tiene en cuenta que cada ataque exitoso puede suponer el robo de miles de dólares.

Los formularios 2FA robustos ofrecen más protección

"En general, los bots muestran que algunas formas de autenticación de dos factores pueden tener sus propios riesgos de seguridad", dijeron los investigadores de Intel 471. "Aunque los servicios OTP basados en SMS y en llamadas telefónicas son mejores que nada, los delincuentes han encontrado la manera de burlar las salvaguardias mediante ingeniería social. Formas más robustas de 2FA -incluyendo los códigos Time-Based One Time Password (TOTP) de las aplicaciones de autenticación, los códigos basados en notificaciones push, o una clave de seguridad FIDO- proporcionan un mayor grado de seguridad que las opciones basadas en SMS o llamadas telefónicas".

Los usuarios deben desconfiar de cualquier llamada telefónica en la que la persona que llama, ya sea un robot o un humano, les pida información personal, financiera o de autenticación. Dado que el sistema 2FA está muy extendido en las cuentas de SaaS y otras cuentas que las empresas proporcionan a sus empleados, estos servicios representan un riesgo también para las organizaciones, no solo para los consumidores.