Miguel López
La verificación en dos factores se ha hecho fuerte en la gran mayoría de servicios online para reforzar la seguridad de nuestros datos privados, pero como siempre solemos decir no existe un sistema de seguridad perfecto. En CSO se hace eco de lo que ha vivido recientemente Alex MacCaw, co-fundador de Clearbit: un SMS que por sí solo puede aprovecharse de esa verificación de dos factores para poder entrar en cuentas de Google ajenas.
La idea de este SMS es intentar confundir al usuario incauto y conseguir que éste le mande vía un mensaje de texto un código de verificación de Google, que le permitiría entrar en la cuenta y acceder a todos los datos.
Be warned, there's a nasty Google 2 factor auth attack going around. pic.twitter.com/c9b9Fxc0ZC
— Alex MacCaw (@maccaw) 4 de junio de 2016
La táctica es la siguiente: alguien, el atacante, ha conseguido la contraseña de tu cuenta de Google. Pero como tienes activada la verificación en dos pasos, no puede acceder a tu cuenta porque el código de verificación que se genera al introducir la contraseña se envía a tu móvil, que tienes tú y no el atacante.
Ante esa situación, el atacante te envía el siguiente mensaje al móvil:
Recientemente hemos recibido un intento sospechoso de identificación en tu cuenta XXXXX@gmail.com desde la dirección IP XXX.XX.XX.XXX (Ubicación). Si no has intentado iniciar sesión desde esa ubicación y quieres bloquear tu cuenta temporalmente responde a esta alerta con el código de verificación de seis dígitos que recibirás en unos instantes. Si has autorizado ese intento de identificación, por favor ignora esta advertencia.
Y acto seguido intenta iniciar sesión en Google con tu cuenta y tu contraseña. Claro, Google te manda un código al móvil porque tienes activada la verificación en dos pasos, de modo que alguien incauto puede creerse que ambos mensajes son de Google cuando en realidad sólo lo es el segundo.
Si la víctima envía el código de verificación, le está dando acceso total de su cuenta de Google al atacante.
¿Cómo identificar y evitar este ataque?
Fácil: recibes un código de verificación en el móvil para iniciar sesión en Google justo cuando acabas de introducir la contraseña de tu cuenta en alguna aplicación o web, de modo que si lo recibes sin haberlo hecho o lo haces justo después de recibir uno de estos SMS sospechosos, no envíes el código de verificación bajo ningún concepto.
Otra forma para entenderlo: el código de verificación que te envía Google hay que colocarlo allá donde estás intentando iniciar sesión en este momento y en ninguna otra parte. Si alguien o algo te lo pide, está intentando entrar en tu cuenta.
Imagen | barsen
En Genbeta | Así es como el sonido de fondo de tu cuarto podría actuar como identificación en dos pasos
Ver 10 comentarios
10 comentarios
porzino
¿¿Verificación de dos factores? ¿¿En serio??
Cuanto daño está haciendo el traductor de Google.
Usuario desactivado
Tiene facil solucion. Ya que el atacante conoce el email de la victima, el password y tambien su numero de telefono, solo hay que decirle al ex-novio/novia que deje de hacer el idiota.
errepunto
Si, realmente es un ataque tremendamente especializado y con el que el atacante debe conocer muchos datos de la víctima.
Pero dado que cada vez hay más páginas que te "obligan" (recomiendan encarecidamente porque si no te juanquearán la cuenta y violarán a tu gato) a introducir tu teléfono móvil, también hay más gente que conoce tu nombre, tu email y tu teléfono.
Supongamos que un ataque como el que ha sufrido LinkedIn, Sony o MySpace publica (o vende a porfiriados malandrines) miles o millones de cuentas con esos tres datos... La estafa está servida.
lrayze
Bueno, el atacante debe conocer también el número del móvil que se usa para la verificación de dos pasos, ¿o me equivoco?
ven3k
La solución está en usar la autenticación en dos pasos con una llave de seguridad USB tipo FIDO U2F y no con claves de un solo uso. Supondría el fin del fishing.
augus1990
Lo importante es que Google ni ninguna otra empresa te obliguen a darles tu numero de telefono. Me molestaria mucho que usaran la excusa de la seguridad para obtener tu numero de telefono y espiarte mas facilmente.