elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Trabajando con las ramas de git (tercera parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  ¿Cómo hacen los hackers para estafar con 2FA?.
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: ¿Cómo hacen los hackers para estafar con 2FA?.  (Leído 2,849 veces)
Bitcoiner con Lamborghini

Desconectado Desconectado

Mensajes: 9


Ver Perfil
¿Cómo hacen los hackers para estafar con 2FA?.
« en: 26 Septiembre 2021, 05:47 am »

Buenas. Me gustaría saber como hacen los hackers para estafar evadiendo la seguridad de autenticación de dos factores (2FA) de un smartphone.

Deseo saberlo para protegerme ante este tipo de ataques, ya que ciertos servicios no dejan de recordarme que la seguridad 2FA no es infalible, así que me gustaría saber que puedo y que no debo hacer para prevenir convertirme en una víctima.

No es necesario que me den detalles muy técnicos ya que no busco replicar el método, sino protegerme como ya he dicho, pero me gustaría entender como lo consiguen.

Yo he leído que tienen que "portar" el número de teléfono a otro teléfono suyo para que el código 2FA le llegue al hacker, pero no se muy bien como es posible que hagan eso, si mi número es mío y solo mío.

Gracias.


« Última modificación: 26 Septiembre 2021, 05:50 am por Votante de VOX » En línea

#!drvy


Desconectado Desconectado

Mensajes: 5.838



Ver Perfil WWW
Re: ¿Cómo hacen los hackers para estafar con 2FA?.
« Respuesta #1 en: 26 Septiembre 2021, 12:14 pm »

La parte más vulnerable del 2FA es cuando se usa un SMS o una llamada para recibirlo. Hay básicamente dos métodos populares:

- Te clonan la SIM o te portan el número de teléfono con tal de obtener control sobre él. Ahí pueden recibir todas tus comunicaciones por llamada y SMS y pueden ver el código 2FA que te llega. La solución a esto es lo que se conoce como Código Rojo, llamas a tu operador y le dices que te den de alta en código rojo para que cualquier trámite requiera de un código que solo tienes tú (te lo mandan por correo ordinario a tu domicilio).  Se han dado varios casos donde atacantes han engañado al operador para hacerse pasar por la víctima y recibir ya sea un duplicado o hacer un cambio de titular o portabilidad. En teoría con ese código se soluciona.

- Te engañan directamente a ti. Te llaman haciéndose pasar por la compañía que maneja la cuenta a la que quieren acceder y te dicen que vas a recibir un código en tu móvil para verificar tu identidad o lo que sea, al mismo tiempo se loguean en tu cuenta y el codigo 2FA que te llega si se lo das, ganan acceso y por tanto ya pueden hacer lo que les dé la gana. Ingeniería social de toda la vida. La solución aquí es no fiarse de ninguna llamada o SMS que te llegue. Es extremadamente fácil suplantar las identidades por llamada o SMS. Hay callcenters en india que te dejan salir a la red con cualquier número que tú quieras, y los SMS en realidad no son nada seguros porque la cabecera que te identifica cuando se manda un mensaje la puede cambiar el propio emisor.


La solución más inmediata es desactivar la funcionalidad de recibir códigos 2FA por SMS o Llamada y usar una aplicación especifica como puede ser Authy o Google Authenticator. Lamentablemente hay muchos servicios todavía que no ofrecen esa funcionalidad, por ejemplo el sistema Cl@ve del gobierno de España que basa toda su verificación en tu número de teléfono.


También se han dado casos donde la implementación de la verificación 2FA por parte de la web/app es mala y se puede hacer bypass. En esos casos tú poco puedes hacer.

PD: Tu número es tuyo si, pero tu operador te permite tener varias SIMs para usar en múltiples dispositivos, también se permite hacer una portabilidad (véase, cambio de compañía) donde tú podrías dejar de ser el dueño del teléfono y que tu atacante reciba dicho numero. La idea es que el atacante se hace pasar por ti en todo momento, es decir, no es que el operador le de el numero a otra persona, el operador te da otra sim o te hace una portabilidad pensando que eres tu mismo quien lo ha solicitado.

Saludos


« Última modificación: 26 Septiembre 2021, 12:19 pm por #!drvy » En línea

Bitcoiner con Lamborghini

Desconectado Desconectado

Mensajes: 9


Ver Perfil
Re: ¿Cómo hacen los hackers para estafar con 2FA?.
« Respuesta #2 en: 27 Septiembre 2021, 01:07 am »

Ah, muchas gracias por ofrecer una respuesta extensa y con todo lujo de detalles. Desconocía lo del código rojo y suena muy útil e interesante.
En línea

el-brujo
ehn
***
Desconectado Desconectado

Mensajes: 21.430


La libertad no se suplica, se conquista


Ver Perfil WWW
Re: ¿Cómo hacen los hackers para estafar con 2FA?.
« Respuesta #3 en: 30 Septiembre 2021, 20:30 pm »

si, básicamente 2FA con SMS no es fiable.

Para clonar la SIM, simplemente piden un duplicado a la operadora que inocentemente se lo da, porque no comprueban correctamente la identidad de la persona.....

Es un método cutre pero tristemente muy efectivo.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines