La compañía de seguridad informática Symantec ha publicado en YouTube un video que explica un nuevo método que están ejecutando atacantes para acceder a la cuenta de email de cualquier usuario con apenas saber su número móvil y su dirección de correo, ¡nada más! Claro, se trata de un ataque de ingeniería social de lo más sencillo pero que podría afectar a más de una persona cercana que llegue a desconocer tales prácticas.
En fin, primero compartimos el video, luego la explicación del método -si es que no se entiende el video por estar en inglés- y, por último, señalamos tareas básicas para protegerse e informar a conocidos para que hagan lo debido.
El video
Cómo los criminales roban cuentas de email vía SMS
Para empezar, aunque nos enfocamos en el email, es claro que esto se hace extensivo a toda red social y servicio en línea que cuente con soluciones de verificación de identidad para la recuperación de cuentas vía SMS luego de asociar números de teléfono para mayor seguridad. Ahora, ¿cómo actúan los criminales?
Supongamos que el atacante conoce la dirección de Gmail de un usuario además de su número telefónico, luego, accede a la página de inicio de sesión de Gmail y justo abajo del cajón para ingresar la cuenta, da clic en “¿Necesitas ayuda?”. En la siguiente pantalla, pulsa en “He olvidado mi contraseña” e ingresa la cuenta de la víctima para proceder hasta el paso en que se envía un SMS con un código de verificación al teléfono que la víctima ha asociado previamente con su cuenta de correo.
A la víctima llegará un mensaje con algo como “Su código de verificación es 123456”. Es entonces cuando el atacante, desde un móvil desconocido para la víctima, le enviará un formal SMS a esta última solicitando que copie y responda con el código que hace un instante llegó a su móvil. Un texto posible:
La víctima responderá al SMS y claramente su mensaje de respuesta apuntará al teléfono del atacante, no al que Google ocupó para enviar el código de verificación. Como consecuencia, el atacante conseguirá dicho código de verificación en el teléfono que utilizó para enviar el SMS formal y lo único que le restará por hacer será ingresarlo al proceso de recuperación de cuenta, resetear la contraseña, poner una nueva y acceder al email, todo sin despeinarse.
Hemos detectado una actividad sospechosa en tu cuenta por lo que, para confirmar tu identidad, debes responder a este mensaje con el código que hace unos instantes a tu móvil llegó.
3. Cómo evitar ser víctima de estos ataques
La protección más sencilla ante este tipo de ataques es evitar a toda costa responder mensajes o sobre mensajes que incluyen códigos de verificación, entre otros detalles para la recuperación de cuentas, pues Google ni otros servicios lo requieren. Es lo mismo que con la información bancaria y el phishing pues las entidades financieras nunca piden datos de acceso a la cuenta personal a través de un email, en este caso, en vez de cuenta bancaria se trata de la cuenta de correo personal y los SMS como medio de comunicación.
Por otra parte, aunque suene contradictorio por recurrir al mismo canal, la verificación en dos pasos sigue siendo una capa extra para verificar la identidad, únicamente y sin falta, cada vez que se trata de acceder a las cuentas personales desde otros dispositivos, así que si aparece en el móvil un código de verificación sin solicitarlo, bastará el sentido común para eliminarlo de inmediato.
Fuente: TNW | Capturas: Verificación en 2 pasos de Google