paypal attack

A finales de septiembre Albert Rivera, el por aquel entonces cabeza visible de Ciudadanos, denunciaba ante la Guardia Civil un supuesto hackeo de su cuenta de WhatsApp.

Debatimos de ello en un artículo exclusivo para mecenas de esta Comunidad, haciendo hincapié en que lo más probable es que el ataque, de haber ocurrido, se hubiera hecho mediante una técnica cada vez más socorrida: la del SIM Swapping o el secuestro de la tarjeta SIM.

De hecho ya le dediqué una pieza en profundidad al SIM Swapping, ejemplificada esa vez con otro caso reciente de un conocido emprendedor al que de la noche a la mañana le robaron más de 100.000 dólares de la cuenta.

Hablamos de un ataque relativamente sofisticado, en tanto en cuanto no puede automatizarse, ya que se realiza de forma dirigida hacia una persona y previamente hay que realizar un buen análisis OSINT para que la campaña tenga éxito.

Y frente a este tipo de ataques ya avisaba que el 2FA es el único sistema que de verdad podía proteger nuestras cuentas.

Un ataque de SIM Swapping puede tener éxito, que si tenemos un doble factor de autenticación instalado en la cuenta y que por supuesto no esté basado en SMS, lo más probable es que los atacantes no puedan acceder a esa cuenta en particular.

Hoy vengo a hablar de otro tipo de ataque, que hereda parte de la mecánica del SIM Swapping, pero que en según qué casos es posible que también se salte un doble factor de autenticación. Hablamos del secuestro del buzón de voz.

¿Cómo funciona un ataque de secuestro de buzón de voz?

Básicamente la premisa es exactamente la misma que teníamos con el SIM Swapping: Necesitamos usurpar la identidad de la víctima atacando al eslabón de la cadena de suministro tecnológica (sin contar al usuario) que hoy por hoy es más débil. Es decir, la operadora de telecomunicaciones.

En el SIM Swapping se utiliza ingeniería social para engañar a la operadora que da servicio a la víctima haciéndonos pasar por ella y argumentando que hemos extraviado la tarjeta para que nos la reactive en otra tarjeta que está bajo nuestro control.

Con el secuestro de buzón de voz no necesitamos llegar a esto, ya que nos basta con tener acceso remoto al buzón de voz de la víctima, que utilizaremos como primer o segundo factor de autenticación para loguearnos en aquella cuenta que queramos usurpar.

Así que los pasos serían los siguientes:

  1. Recopilar información de la víctima: Los cibercriminales necesitan primero conocer a la víctima para poder realizar el ataque de forma exitosa. En particular, necesitan conocer el email con el que ha sido creada la cuenta a atacar, el ID de su número de teléfono (así como el número en sí), y probablemente algunos datos de control que habitualmente la operadora puede pedir, como puede ser una contraseña numérica de seis dígitos, el nombre y apellidos, el número del documento de identidad o incluso el banco donde tiene asociado su contrato. También sería interesante conocer cuándo esta persona va a estar offline, por ejemplo porque va a coger un vuelo.
  2. Se intenta acceder a la cuenta sin conocer la contraseña: Puesto que no conocemos la contraseña, y menos aún tendremos acceso a su teléfono (para eso tendríamos que estar físicamente cerca de la víctima), en el momento en que empieza el ataque el cibercriminal intenta «recuperar» el acceso a la cuenta argumentando que no recuerda la contraseña. Y entre las opciones de recuperación de contraseña la mayoría de servicios actuales permiten recuperarla mediante una llamada de voz, que es el objetivo de este ataque.
  3. Un DDoS forzado a la línea: Por supuesto, esa llamada únicamente se hará al teléfono (a la SIM mejor dicho) de la víctima, y esto, puesto que no tenemos acceso ni a la SIM ni al teléfono, no nos interesa. ¿Qué se puede hacer? Pues o bien realizamos un ataque de SIM Swapping, o más sencillo aún, dejamos la línea incomunicada. Bien sea porque como decía anteriormente sabemos a ciencia cierta que esta persona va a estar X tiempo offline, bien sea porque se realiza una denegación de servicio al número de teléfono (con bombardearle a llamadas continuamente la línea queda bloqueada, ya que por razones obvias un número de teléfono particular solo puede recoger una llamada al mismo tiempo).
  4. Entra en juego el buzón de voz: Esa llamada automática que la amplia mayoría de servicios ofrecen para recuperar la contraseña, al ver que es imposible ponerse en contacto con el susodicho, deja en el buzón de voz de la víctima un mensaje con el código. Es aquí donde entra la segunda parte, que se basa en usurpar la identidad de la víctima accediendo a su buzón de voz. Y para esto hay dos maneras: O bien desde fuera (otro número de teléfono) lo intentamos hacer, a sabiendas de que para ello tendremos que conocer los datos de control de la víctima (normalmente piden algún dato personal más un PIN de seis dígitos), o bien realizando una llamada desde un servicio que emule tener la ID del número de la víctima, ya que en caso de colar normalmente las operadoras ni siquiera piden ningún dato de control (asumen que si la llamada llega desde el número de teléfono del usuario, quien llama es el usuario).
  5. Y si hay 2FA, el proceso se repite: Si la cuenta tuviera un segundo factor de autenticación, probablemente con volver a repetir este proceso (pedir que en vez de llegar el 2FA por teléfono lo recibamos por llamada, entrar nuevamente en el buzón y recuperarla) es suficiente.

De esta manera hoy en día se puede usurpar la identidad de casi cualquier usuario en la amplia mayoría de servicios online. WhatsApp, Telegram, Twitter, PayPal…

Tan triste como lo oyes. De poco importa que el sistema utilice un cifrado de punto a punto super seguro, si al final hay un elemento de la cadena que es débil a ataques de ingeniería social.

Está fue la manera mediante la cual, presuntamente, Walter Delgatti accedió hace apenas unos meses al Telegram de un fiscal brasileño, y una vez dentro, tiró del hilo hasta conocer y hacer pública toda la trama de contraespionaje y corrupción (ES) que salpicó al todavía presidente del país, Jair Bolsonaro.

Martin Vigo habló en su día de cómo se puede pseudo-automatizar este tipo de ataques, habida cuenta de que muchas operadoras por defecto gestionan con la misma contraseña todos sus clientes.

Un ejemplo de voicemailer attack (EN)

Por aquí tienes un ejemplo en directo del ataque a una cuenta de PayPal.

Ataque a una cuenta de PayPal (EN)

¿Qué podemos hacer para evitar este tipo de ataques?

Hay como todo en esta vida dos acercamientos claros.

Desde el punto de vista de las operadoras, es importante que éstas tomen las medidas de seguridad oportunas. Decía que uno de los puntos débiles de los que se aprovechaba el ataque era precisamente que por regla general el usuario puede acceder sin contraseña al buzón de voz. Forzando que primero tengamos una contraseña, y segundo esta sea obligatoria para cualquier acción que hagas a nivel telefónico, se minimiza bastante el ataque.

Y aquí en España hay que reconocer que vamos por buen camino. La mayoría de contratos de línea y fibra óptica (ES) requieren que fijemos de antemano una contraseña de seguridad, que normalmente está compuesta por un número de seis dígitos, del que te piden aleatoriamente tres de ellos (por ejemplo el 2º, el 4º y el 6º).

Y desde el punto de vista del usuario la mejor manera de evitar que algo así nos pase sea simplemente desactivar el buzón de voz.

Un servidor de hecho es lo primero que hace tras cambiar de operadora. A fin de cuentas si recibo una llamada en un momento en el que no estoy disponible me quedará registrada o en el registro de llamadas, o mediante un SMS que se me enviará la próxima vez que tenga cobertura.

Y seamos sinceros… para un uso personal hay muy pero que muy contados casos donde realmente el buzón de voz sea útil.

Un servicio que, para colmo, resulta molesto a aquellos que nos llamen desde una línea sin tarifa plana de llamadas, ya que si el teléfono está sin cobertura a efectos de quien llama son unos cuantos céntimos a pagar sin que en efecto haya podido comunicarse con nosotros. Y un servicio que según qué operadora puede que nos estén facturando aparte (suele costar muy poco, en torno a uno o dos euros, pero es un pago mensual por algo que probablemente nunca necesites y que además, como hemos visto, reduce la seguridad de nuestras cuentas).

Llamas a la operadora, o bien gestionas el desactivado del buzón de correo desde la app oficial, y listo.

En fin, que [email protected] quedas :).

________

Puedes ver más artículos de esta serie en #MundoHacker, donde tratamos en varios tutoriales las medidas para atacar y/o defenderse en el mundo digital.

Y si el contenido que realizo te sirve para estar actualizado en tu día a día, piensa si merece la pena invitarme a lo que vale un café, aunque sea digitalmente.