Miguel López
La verificación en dos factores se ha hecho fuerte en la gran mayoría de servicios online para reforzar la seguridad de nuestros datos privados, pero como siempre solemos decir no existe un sistema de seguridad perfecto. En CSO se hace eco de lo que ha vivido recientemente Alex MacCaw, co-fundador de Clearbit: un SMS que por sí solo puede aprovecharse de esa verificación de dos factores para poder entrar en cuentas de Google ajenas.
La idea de este SMS es intentar confundir al usuario incauto y conseguir que éste le mande vía un mensaje de texto un código de verificación de Google, que le permitiría entrar en la cuenta y acceder a todos los datos.
Be warned, there's a nasty Google 2 factor auth attack going around. pic.twitter.com/c9b9Fxc0ZC
— Alex MacCaw (@maccaw) 4 de junio de 2016
La táctica es la siguiente: alguien, el atacante, ha conseguido la contraseña de tu cuenta de Google. Pero como tienes activada la verificación en dos pasos, no puede acceder a tu cuenta porque el código de verificación que se genera al introducir la contraseña se envía a tu móvil, que tienes tú y no el atacante.
Ante esa situación, el atacante te envía el siguiente mensaje al móvil:
Recientemente hemos recibido un intento sospechoso de identificación en tu cuenta XXXXX@gmail.com desde la dirección IP XXX.XX.XX.XXX (Ubicación). Si no has intentado iniciar sesión desde esa ubicación y quieres bloquear tu cuenta temporalmente responde a esta alerta con el código de verificación de seis dígitos que recibirás en unos instantes. Si has autorizado ese intento de identificación, por favor ignora esta advertencia.
Y acto seguido intenta iniciar sesión en Google con tu cuenta y tu contraseña. Claro, Google te manda un código al móvil porque tienes activada la verificación en dos pasos, de modo que alguien incauto puede creerse que ambos mensajes son de Google cuando en realidad sólo lo es el segundo.
Si la víctima envía el código de verificación, le está dando acceso total de su cuenta de Google al atacante.
¿Cómo identificar y evitar este ataque?
Fácil: recibes un código de verificación en el móvil para iniciar sesión en Google justo cuando acabas de introducir la contraseña de tu cuenta en alguna aplicación o web, de modo que si lo recibes sin haberlo hecho o lo haces justo después de recibir uno de estos SMS sospechosos, no envíes el código de verificación bajo ningún concepto.
Otra forma para entenderlo: el código de verificación que te envía Google hay que colocarlo allá donde estás intentando iniciar sesión en este momento y en ninguna otra parte. Si alguien o algo te lo pide, está intentando entrar en tu cuenta.
Imagen | barsen
En Genbeta | Así es como el sonido de fondo de tu cuarto podría actuar como identificación en dos pasos
Ver 10 comentarios