Posted by Sean Coonse perdió poco mas de $ 100,000 USD el miércoles pasado. Se evaporaron durante un período de 24 horas en un «ataque a su puerto SIM» que le ocasionó un lavado y vaciado de su cuenta de Coinbase.
«Han pasado cuatro días desde el incidente y estoy destrozado. Tengo cero apetito; mi sueño es inquieto; Estoy inundado de sentimientos de ansiedad, remordimiento y vergüenza»
Sean Coonse
Esta fue la lección más cara de su vida y nos compartió su experiencia.
El objetivo es aumentar la conciencia sobre estos tipos de ataques y motivarlo para que aumente la seguridad de su identidad en línea.
Detalles del Ataque
Podría preguntarse, ¿Qué es exactamente un «ataque de puerto SIM»? Para describir el ataque, examinemos una identidad en línea típica. El siguiente diagrama debe ser familiar para la mayoría de las personas.
Portabilidad SIM autorizada
La capacidad de trasladar su tarjeta SIM a otro dispositivo es un servicio que los operadores de telefonía móvil brindan a sus clientes. Permite a un cliente solicitar que su número de teléfono se transfiera a un nuevo dispositivo. En la mayoría de los casos, esta es una solicitud perfectamente legítima; esto sucede cuando actualizamos a un nuevo teléfono, cambiamos los operadores de telefonía móvil, etc.
Un ataque de puerto SIM
Sin embargo, un «ataque de puerto SIM» es un puerto malicioso realizado por una fuente no autorizada: el atacante.
El atacante conecta su tarjeta SIM a un teléfono que controlan.
El atacante inicia el flujo de restablecimiento de contraseña en su cuenta de correo electrónico. Su proveedor de correo electrónico envía un código de verificación a su número de teléfono, que es interceptado por el atacante, ya que ahora controla su tarjeta SIM. El siguiente diagrama describe el ataque paso a paso.
Una vez que el atacante controla su cuenta de correo electrónico principal, comienzan a moverse lateralmente a través de los servicios en línea lucrativos que administra a través de esa dirección de correo electrónico (cuentas bancarias, cuentas de redes sociales, etc.). Si son terriblemente maliciosos, incluso pueden bloquearte de tus propias cuentas con pocos recursos para reclamarlos.
Tómese un momento para considerar el gran volumen de información confidencial vinculada a una sola cuenta de Google:
- Su dirección, fecha de nacimiento y otra información privada de identificación personal.
- Acceda a fotos potencialmente comprometidas de usted (y / o su pareja)
- Acceso a su calendario y próximas fechas de viaje.
- Accede a tus correos privados, documentos e historial de búsqueda
- Acceda a sus contactos personales y su información privada, así como a su relación personal.
- Acceso a todos los demás servicios en línea para los cuales se usó su dirección de correo electrónico principal como fuente de autenticación
Una línea de tiempo de los eventos previos y posteriores al ataque
Con una mejor comprensión de cómo se lleva a cabo tal ataque y el alcance de lo que está en juego, sumerjámonos en la línea de tiempo de este ataque específico. Analice usted cómo Sean Coonse experimentó estos eventos y qué puede hacer usted de manera diferente para protegerse si experimenta síntomas similares.
La percepción de los acontecimientos como ocurrieron los hechos
Nivel de amenaza (El nivel de tratamiento que debió haber tenido Sean Coonse por Ingmar Frey).
Martes – 10:00 pm El hacker conecta su tarjeta SIM a un dispositivo que el controla.
– Estoy en la cama y mirando mi calendario para el día siguiente cuando note que mi teléfono no tiene ningún servicio celular.
– Esto nunca me había pasado antes, pero lo calculo como un problema en la cobertura
Martes – 10:05 pm El hacker restablece la contraseña de su cuenta de Google su código de verificación 2FA se envía a su dispositivo, que se utiliza para cambiar su contraseña. (El hecho de no poder iniciar sesión en su cuenta de Google con una contraseña conocida debería haberse puesto seriamente en pausa y hacer algo mas al respecto).
-Poco después de perder el servicio celular, recibo indicaciones en mi dispositivo para iniciar sesión en mi cuenta de Google. Esto parece extraño, pero supongo que está asociado a mi pérdida en el servicio; Pensé que las dos cuestiones estaban acopladas.
– Intento ingresar mi contraseña pero no puedo hacerlo con éxito porque el atacante la ha modificado.
-Es tarde, decido irme a la cama y lidiar con eso por la mañana. Estoy dormido,
Martes 10:50 pm El hacker inicia el flujo de recuperación de contraseña en su cuenta Coinbase.
-No tengo idea de que esto haya sucedido.
Martes 10:51 pm Coinbase envía un correo electrónico de restablecimiento de contraseña a mi dirección de correo electrónico. Retrasan el enlace de reinicio de contraseña durante 24 horas.
– El atacante, ahora con el control completo de mi dirección de correo electrónico y la tarjeta SIM intercepta el correo electrónico, guarda el enlace de restablecimiento de contraseña y borra el mensaje.
-Cuando finalmente recupero el acceso a mi cuenta de correo electrónico a la mañana siguiente, no tengo conocimiento de que esto haya sucedido.
Miércoles – 11:00 am. Al controlar su cuenta de correo electrónico, el hacker elimina todos los correos electrónicos de incidentes de seguridad que se hayan enviado.
– A la mañana siguiente, me dirijo a mi operador de telefonía móvil local para averiguar qué está pasando con mi servicio celular.
– El asociado de servicio indica que algo está mal con mi teléfono, por lo que asumo que se cometió un error en el teléfono o la tarjeta SIM durante esa caída. (Debería haber realizado una investigación más exhaustiva con el servicio asociado).
Miércoles 11:10 a.m. – Con su tarjeta SIM conectada a su teléfono celular nuevamente, puede usar la autenticación de 2 factores del móvil para restablecer la contraseña en su cuenta de correo electrónico principal.
– Simplemente estoy feliz de que me restauren el servicio celular y la cuenta de correo electrónico.
-Tengo un día ocupado por delante, así que regreso al trabajo. (Las campanas de alarma deberían haber estado en llamas desde que necesitaba restablecer la contraseña de su cuenta de correo electrónico en primer lugar. Debió de haber ingresado en la configuración de seguridad de su cuenta para ver si ocurrieron incidentes no autorizados).
Miércoles 10.00 PM El Hacker conecta la SIM de sean nuevamente a otro dispositivo que el controla.
– Casi al mismo tiempo que la noche anterior, observo una caída similar en el servicio celular.
molesto, creo que recibí un mal funcionamiento de la tarjeta SIM. – -Empiezan a aparecer problemas similares sobre el cierre de sesión de mi cuenta de correo electrónico.
– Lo atribuyo al mismo problema que la noche anterior y decido tratar con él en la mañana. (Esto fue más que una coincidencia; debería haber estado en el teléfono para recibir asistencia del cliente con su operador de telefonía móvil, proveedor de correo electrónico e instituciones financieras.)
Miércoles 10:01 PM El Hacker restablece la contraseña de la cuenta del correo electrónico de sean una vez más.
El hacker completa el flujo de reinicio de contraseña de Coinbase usando el enlace anterior.
– Estoy dormido.
Miércoles 10:10 PM: El atacante vacía las carteras de Coinbase de Sean.
también realiza varios pedidos de compra con la cuenta y se envía a otro exchange los fondos de la cuenta de Sean.
– Estoy dormido.
Jueves 9:00 AM Sean regresa a su operador de telefonía móvil local y el servicio representativo tiene problemas para desbloquear su cuenta móvil, y el PIN ya no funciona.
– Luego me pregunta si estuve en Nevada ayer, a lo que respondo, no. Sus ojos se iluminan, comenzando a pensar que es un fraude.
– Intento acceder a mi cuenta de Coinbase en mi dispositivo móvil y mi sesión ya no es válida.
– Empiezo a pensar en lo peor mientras espero lo mejor.
Jueves 11:13 AM El servicio de atención al cliente de Coinbase confirma que el usuario pudo obtener acceso a la cuenta sean la noche anterior y ha transferido todos los fondos a una dirección en cadena fuera de Coinbase.
Recomendaciones
De acuerdo con Raymundo Cámara, Managing partner en Avocado Blockchain Services , Consultor y administrador de proyectos de TI con más de 10 años de experiencia, experto en blockchain.
«Mueva su crypto a una billetera de hardware, un almacenamiento fuera de línea siempre que no esté realizando transacciones. No deje los fondos inactivos en los intercambios o fiat en rampas. «
De igual forma para Ingmar Frey, Managing Partner en Avocado Blockchain Services en México, Diseñador de los procesos de reclutamiento, selección y capacitación para los ingenieros Blockchain de la empresa, experto en Blockchain nos compartió.
«En estos casos, puede ser mejor que cree un número de teléfono de Google Voice, que no puede ser portado por SIM ,y que use su número de recuperación de Autenticación de 2 factores.»
A continuación hay algunos consejos de los expertos que recomendaría a otros usuarios usar para protegerse mejor:
2FA basado en SMS no es suficiente: Independientemente de los activos y / o identidades que intenta proteger en línea, actualice a la seguridad basada en hardware (es decir, algo físico que un atacante tendría que obtener físicamente para realizar un ataque). Si bien Google Authenticator y Authy pueden convertir su dispositivo móvil en una pieza de seguridad basada en hardware, le aconsejo ir un paso más allá. Elija una YubiKey que controle físicamente y que no pueda ser falsificada.
Reduzca su huella en línea: Reduzca la necesidad de compartir innecesariamente información de identificación personal (fecha de nacimiento, ubicación, imágenes con datos de geolocalización incorporados, etc.) en línea. Todos los datos disponibles de forma casi pública se pueden volver en su contra en caso de un ataque.
Cree una dirección de correo electrónico secundaria: En lugar de vincular todo a una única dirección de correo electrónico, cree una dirección secundaria para sus identidades en línea críticas (cuentas bancarias, cuentas de redes sociales, intercambios de cifrado, etc.). No utilice esta dirección de correo electrónico para nada más y manténgala privada. Copia de seguridad de esa dirección con algún tipo de 2FA basado en hardware.
Administrador de contraseñas sin conexión: Utilice un administrador de contraseñas para sus contraseñas. Aún mejor, use un administrador de contraseñas fuera de línea como Password Store. lrvick tiene un excelente cuadro de comparación de varios administradores de contraseñas, así como una recomendación revisada para los más inclinados técnicamente.
Autor: Daniel Sánchez
Debe estar conectado para enviar un comentario.