Salteo del doble factor de autenticación por SMS.

En 2016, el broker de criptodivisas Coinbase informó que recibió ataques de intercambio de puertos, el cual ocurre cuando un delincuente conecta el número de teléfono de la víctima a un dispositivo bajo su control y logra obtener sus SMS.



El ataque comienza cuando el delincuente busca personas que trabajan en una industria en particular o revisando las cuentas de las redes sociales que mencionan Bitcoin y Coinbase. El ladrón no tardará mucho en encontrar la dirección de correo electrónico y el número de teléfono móvil de la víctima en línea a través de una página de contacto, por ejemplo.

Fingiendo ser un usuario legítimo, el delincuente llama al proveedor de telefonía móvil de la víctima. En el caso de Coinbase, el proveedor era Verizon, y solicitaron transferir el número de teléfono a un proveedor de voz sobre IP, evitando así a Authy, una aplicación que brinda múltiples funciones de doble factor de autenticación. Verizon aceptó el número de teléfono como una alternativa a una dirección de correo electrónico para iniciar sesión.

Poco después de que el delincuente restablece la contraseña del correo electrónico, la víctima recibe un mensaje VZW FREE MSG para confirmar que la contraseña de su cuenta fue modificada. Como la víctima no hizo la solicitud, se le indica que llame a Verizon marcando *611 desde su teléfono celular. La víctima entonces descubre, demasiado tarde, que su cuenta fue bloqueada por el atacante.

Mientras tanto, el ladrón cambia la contraseña de Coinbase y la información del mensaje de texto para habilitar la autenticación de dos factores. Si no es atrapado a tiempo, el atacante puede robar el dinero en la cuenta de la víctima y ponerlo en sus propias billeteras digitales.

Como opción para que esto no suceda, debería considerarse:

  • Evitar el uso de mensajes de texto como autenticación de dos factores. Considerar utilizar Google, Microsoft Authenticator o Latch, que utilizan un código QR para almacenar claves secretas localmente en un solo dispositivo.
  • No usar mensajes de texto para la recuperación de la cuenta.
__________________________________________________________

Tomado: https://blog.segu-info.com.ar/2018/01/salteo-del-doble-factor-de.html
Se Respetan Derechos de Autor.