Autor
|
Tema: ¿Cómo hacen los hackers para estafar con 2FA?. (Leído 5,487 veces)
|
Bitcoiner con Lamborghini
Desconectado
Mensajes: 9
|
Buenas. Me gustaría saber como hacen los hackers para estafar evadiendo la seguridad de autenticación de dos factores (2FA) de un smartphone.
Deseo saberlo para protegerme ante este tipo de ataques, ya que ciertos servicios no dejan de recordarme que la seguridad 2FA no es infalible, así que me gustaría saber que puedo y que no debo hacer para prevenir convertirme en una víctima.
No es necesario que me den detalles muy técnicos ya que no busco replicar el método, sino protegerme como ya he dicho, pero me gustaría entender como lo consiguen.
Yo he leído que tienen que "portar" el número de teléfono a otro teléfono suyo para que el código 2FA le llegue al hacker, pero no se muy bien como es posible que hagan eso, si mi número es mío y solo mío.
Gracias.
|
|
« Última modificación: 26 Septiembre 2021, 05:50 am por Votante de VOX »
|
En línea
|
|
|
|
#!drvy
|
La parte más vulnerable del 2FA es cuando se usa un SMS o una llamada para recibirlo. Hay básicamente dos métodos populares:
- Te clonan la SIM o te portan el número de teléfono con tal de obtener control sobre él. Ahí pueden recibir todas tus comunicaciones por llamada y SMS y pueden ver el código 2FA que te llega. La solución a esto es lo que se conoce como Código Rojo, llamas a tu operador y le dices que te den de alta en código rojo para que cualquier trámite requiera de un código que solo tienes tú (te lo mandan por correo ordinario a tu domicilio). Se han dado varios casos donde atacantes han engañado al operador para hacerse pasar por la víctima y recibir ya sea un duplicado o hacer un cambio de titular o portabilidad. En teoría con ese código se soluciona.
- Te engañan directamente a ti. Te llaman haciéndose pasar por la compañía que maneja la cuenta a la que quieren acceder y te dicen que vas a recibir un código en tu móvil para verificar tu identidad o lo que sea, al mismo tiempo se loguean en tu cuenta y el codigo 2FA que te llega si se lo das, ganan acceso y por tanto ya pueden hacer lo que les dé la gana. Ingeniería social de toda la vida. La solución aquí es no fiarse de ninguna llamada o SMS que te llegue. Es extremadamente fácil suplantar las identidades por llamada o SMS. Hay callcenters en india que te dejan salir a la red con cualquier número que tú quieras, y los SMS en realidad no son nada seguros porque la cabecera que te identifica cuando se manda un mensaje la puede cambiar el propio emisor.
La solución más inmediata es desactivar la funcionalidad de recibir códigos 2FA por SMS o Llamada y usar una aplicación especifica como puede ser Authy o Google Authenticator. Lamentablemente hay muchos servicios todavía que no ofrecen esa funcionalidad, por ejemplo el sistema Cl@ve del gobierno de España que basa toda su verificación en tu número de teléfono.
También se han dado casos donde la implementación de la verificación 2FA por parte de la web/app es mala y se puede hacer bypass. En esos casos tú poco puedes hacer.
PD: Tu número es tuyo si, pero tu operador te permite tener varias SIMs para usar en múltiples dispositivos, también se permite hacer una portabilidad (véase, cambio de compañía) donde tú podrías dejar de ser el dueño del teléfono y que tu atacante reciba dicho numero. La idea es que el atacante se hace pasar por ti en todo momento, es decir, no es que el operador le de el numero a otra persona, el operador te da otra sim o te hace una portabilidad pensando que eres tu mismo quien lo ha solicitado.
Saludos
|
|
« Última modificación: 26 Septiembre 2021, 12:19 pm por #!drvy »
|
En línea
|
|
|
|
Bitcoiner con Lamborghini
Desconectado
Mensajes: 9
|
Ah, muchas gracias por ofrecer una respuesta extensa y con todo lujo de detalles. Desconocía lo del código rojo y suena muy útil e interesante.
|
|
|
En línea
|
|
|
|
el-brujo
|
si, básicamente 2FA con SMS no es fiable.
Para clonar la SIM, simplemente piden un duplicado a la operadora que inocentemente se lo da, porque no comprueban correctamente la identidad de la persona.....
Es un método cutre pero tristemente muy efectivo.
|
|
|
En línea
|
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
Ciberdelincuentes se hacen pasar por la industria del cine para estafar a ....
Noticias
|
wolfbcn
|
0
|
1,658
|
27 Marzo 2012, 21:36 pm
por wolfbcn
|
|
|
Las matemáticas hacen buenos a los «hackers»
Noticias
|
wolfbcn
|
0
|
1,794
|
29 Julio 2014, 18:07 pm
por wolfbcn
|
|
|
Como lo hacen para ser tan rápidos con las ofertas
Dudas Generales
|
isaaclo97
|
3
|
2,936
|
24 Enero 2016, 22:24 pm
por karmany
|
|
|
Hackers boicoteando Instagram con porno - como creeis que lo hacen?
Foro Libre
|
alpha015
|
3
|
2,910
|
12 Septiembre 2016, 23:53 pm
por ivancea96
|
|
|
Unos hackers se hacen pasar por Adobe y espían a la gente a través de la webcam
Noticias
|
wolfbcn
|
0
|
1,419
|
5 Junio 2018, 22:32 pm
por wolfbcn
|
|