todos hemos oído hablar de ataques de phishing, pero un nuevo tipo de truco de ingeniería social que utiliza su teléfono móvil para engañarlo es un poco más aterrador.

Me encontré con un video de Symantec que explica una nueva forma en que los atacantes están tratando de entrar en su cuenta de correo electrónico. La idea es simple: si desea restablecer la contraseña de alguien, todo lo que realmente necesita es su número de teléfono móvil.,mber, advirtiéndoles que están a punto de recibir un código para garantizar que su cuenta de Google sea segura y pidiéndoles que respondan con el código para confirmar

  • activen el proceso de restablecimiento de contraseña de Gmail, que envía un mensaje que contiene un código de desbloqueo al teléfono registrado
  • El usuario recibe el código del que ha sido advertido y lo envía de vuelta a el atacante
  • El atacante inicia sesión en la cuenta de Gmail sin detección
  • antes de ver este video, nunca había pensado en un método de este tipo que se utiliza para entrar en la cuenta de alguien.,

    cuando imaginé a un hacker usando ingeniería social para entrar en mi cuenta, los imaginé llamando a un servicio de ayuda para engañarlos para que dieran mi información o simplemente enviándome un correo electrónico de phishing.

    por alguna razón, este es un truco peligrosamente potente que incluso yo probablemente habría caído si no hubiera oído hablar de él.

    La mayoría de las personas probablemente responderían a un número desconocido simplemente asumiendo que realmente es la empresa, porque recibir mensajes de empresas en números desconocidos no es tan raro.,

    con la llegada de servicios como Twilio y Nexmo que le permiten enviar un mensaje directamente desde su computadora con pocos rastros, hace que sea mucho más fácil orquestar este tipo de ataque, dadas las habilidades adecuadas.

    Me pregunté si podría ser llevado al siguiente nivel — algunos servicios en realidad le permiten enviar un mensaje de texto que se identifica como una empresa o persona en el teléfono de la víctima — así que se dispuso a enviar un mensaje a mí mismo con un nombre familiar en lugar de un número desconocido.,

    dentro de los diez minutos de salir a probarlo, me había enviado un mensaje de texto desde el terminal de mi Mac haciéndose pasar por Google. Es tan fácil como asumir cualquier otro nombre de empresa simplemente cambiando una palabra en el comando.

    eso es más que suficiente para engañar incluso a algunas de las personas más inteligentes para que respondan con su código de verificación, lo que en última instancia te permite ingresar a sus cuentas. Es trivial enviar un mensaje con el nombre de cualquier empresa, por lo que podría usarse para atacar muchos servicios.,

    este ataque también podría utilizarse para eludir los servicios que utilizan la autenticación de dos factores, aunque vale la pena señalar que Google no enviará un SMS para su segundo factor si ya está configurado.

    el problema con este tipo de ataque es que es relativamente difícil de detener, fuera de educar a la gente a nunca responder a ningún tipo de SMS que pide una contraseña o código de autenticación.

    muchos servicios ahora dependen del envío de un SMS para verificar la identidad del Usuario si ha olvidado su contraseña, ya que un teléfono es un dispositivo íntimo que es más probable que esté con usted., Este tipo de ataque de ingeniería social muestra que todavía es increíblemente fácil engañar a las personas que no tienen forma de saber algo mejor.

    si alguna vez recibe un mensaje de cualquier número solicitando su contraseña, nombre de usuario, Código de confirmación o cualquier otra información personal, le instamos a que no responda. Simplemente no hay razón para que las empresas pidan eso, o cualquier otra información, a través de SMS.