Los cibercriminales no dejan de buscar nuevas vías para cometer sus crímenes, haciendo gala de un incuestionable ingenio, mediante el uso de ingeniería social y las nuevas tecnologías, por lo que mediante esta modalidad de estafa, consiguen obtener el código de verificación, conocido como doble factor de autenticación (2FA), o verificación en dos pasos. Consiguiendo, de este modo, acceder a las cuentas de usuarios de servicios tales como CoinBase, Paypal, Amazon entre otros.
Bien es sabido que muchas compañías utilizan bots para prestar servicios de atención al cliente, donde la falta de personalización por parte de estos, nos puede resultar tan común y familiar que es difícil no ser víctimas de esta estafa si no tenemos los suficientes conocimientos o, mejor dicho, buenos hábitos de seguridad que nos hagan sospechar al respecto.
Para que la ejecución tenga éxito, los ciberdelincuentes deberán tener una lista o base de datos con el email y contraseña de dichos usuarios. Esta parte, aunque parezca que es la parte más compleja del plan, suele resultar, sorprendentemente, la parte más sencilla del acto; ya que debemos de recordar que cuando un servicio o compañía sufre una brecha de datos, estos datos son publicados (incluso de manera gratuita) o puestos a la venta en foros underground, donde se exponen datos personales de los usuarios. Véanse los recientes casos de filtraciones de famosas plataformas como Twitch o la archiconocida plataforma de Trading RobinHood, donde se expuso los datos de más de 7 Millones de usuarios.
Una vez los cibercriminales cuentan con estos datos, es hora de desplegar la artillería, en este caso, a través de bots que pueden adquirirse desde los 100$ hasta los 1000$ por suscripción.
El siguiente paso es tan sencillo como lógico. Consiste en ingresar el número de teléfono de la víctima junto a un comando y el nombre del servicio que quiera suplantar, El bot realiza una llamada a la víctima haciéndose pasar por el susodicho servicio o compañía, mediante la excusa de que hubo un movimiento sospechoso u otro pretexto. Para ello hace creer a la víctima que deberá verificar su identidad ingresando un código que recibirá en su teléfono (2FA), y es en el momento de ingresar dicho código que, de manera automática, el ciberdelincuente recibirá el mismo código a través de esta tool.
A continuación presentamos un vídeo donde un usuario con el nombre de Metamask Giveaways nos muestra en vivo y paso a paso este ataque.
Para evitar ser víctimas de estas estafas, desde Hispasec insistimos en qué sospechen siempre que reciban un SMS, email o llamada de este tipo, ya que ninguna entidad le solicitará estos datos por estos medios sin que haya sido usted quién lo haya solicitado.
Fuente: vice.com
Deja una respuesta