Topic: Sim swapping – lo oímos menos últimamente, pero sigue existiendo - page 2. (Read 640 times)

Al final dejarán que la noticia se haga vieja y se olvide. Es lo que suelen hacer muchas compañias y agencias de gobierno cuando han comedito un error que saben es bastante grave para el supuesto nivel que deberían de estar manejando. Sea como sea, creo que más allá del manejo de la credenciales por parte de la SEC, esto es un recordatorio de que Twitter/X sigue siendo uno de los blancos más apetecibles para todo tipo de criminal informático que desee hacerse de forma temporal con la cara, imagen y credibilidad de cualquier persona que tenga una cuenta verificada allí (claro que la verificación ahora sifnifica mucho menos que antes, desde que Musk se hizo con el poder de la red social).
Dejando a un lado la caída de su valor y las quejas de los usuarios por el tipo de contenido que se puede o no ver dentro de Twitter/X, sigue siendo unas de las redes líderes para la difusion de mensajes cortos alrededor del mundo en un abrir y cerrar de ojos.

Lo que faltaria es descubrir que las cuentas oficiales de la casa blanca y de POTUS no tienen factor de doble seguridad activado. 

Es inaudito, y por añadido precisamente en una de las noticias más esperadas de los últimos años, vaya coincidencia, bueno, como sucede con los "gringos" al estilo de black mirror, es posible que nunca sepamos la verdad.

La pregunta que me hago es eso real, o es esa la forma mas facil de sacarse la culpa ellos y echarsela a un tercero que nadie conoce y que todo quede medio en la nada para ellos?.

Ademas que imagino que la SEC debe usar unos numeros corporativos contratados muy especificos, es mas diria que ni existe ese numero, tal vez lo usaron para activar la cuenta y despues fue desactivado o eso imaginaria yo que se haria en grandes empresas o entes a fin de preservar aun mas ciertas cuestiones, dicho esto cuentas importantes tendrian que empezar a tener un multi-sig o cosas por el estilo, cuestion que no pueda un solo empleado/usuario acceder facilmente.

Hace poco vimos como la SEC indicaba que su cuenta en Twitter fue hackeada, y como consecuencia, alguien logró postear un mensaje indicando que los ETFs se habían aprobado, cuando aún faltaban varias horas para hacerse oficial.

Habían dudas acerca de la autenticidad del hackeo, y a mí me sonaba más a que alguien se había adelantado que a otra cosa. No obstante la SEC itera en la versión del hackeo, y lo atribuye a un caso de sim-swapping:


A su vez, indican que había tenían habilitado el 2FA en la cuenta, acorde a su protocolo interno, pero que llevaba meses desactivado por soporte (de Twitter) desde Julio 2023 debido a los problemas que tenían para acceder a su cuenta.

Ver:
https://www.computerweekly.com/news/366567197/SEC-Bitcoin-hack-was-result-of-SIM-swapping

Lo he mencionado varías veces, todos los somos, creerse el hecho de que eres no vulnerable es el error progresivo a qué esto suceda... la mejor manera es siempre estar alerta, informado pero sobretodo estos casos y no porque sea el personaje en si mismo, si no que vas y miras el caso, luego te dices a ti mismo " lo tengo cubierto" y luego en la redundancia revisar que puedes mejorar.

La mejor actualización que uno puede darse es documentarse de estos casos, la mejor estafa es la que no conoces y los tipos detrás de este tipo de malechorias lo mejor que hacen es buscar como mejorar las estafas tradicionales, casualmente las que siempre tenemos cubiertas.

Es por ello que cualquier actualización de este hilo o de esa información que aquí se manifiesta en donde sea es de lectura obligatoria, leer Sin swapping y decir " se de qué hablan" es lo que diría un experto.

La cuestión con las preguntas de seguridad, es que es un formato que en la mayoría de los casos, garantizan que el usuario pueda ir a través del proceso de recuperación de forma efectiva y sin asistencia de un operador. Eso es especialmente deseable cuando un servicio bancario o de telefonía va dirigido no solo a un público joven (que saben cómo moverse bien en el ámbito tecnológico), sino tambien a personas con desconocimiento de tecnología o seguridad básica.

El Banco de Venezuela posee método de preguntas y respuestas para reinicio de clave, por ejemplo. ¿es un peligro? Si, lo es.

Pero en su mente les funcionará por cuan barato les sale en equipos de atención al cliente. Se trata de facilidad para ambos el operador y el cliente. Lamentablemente, también es una facilidad para los criminales.

Lo que pasa es que se dan dos familias de casos de uso:

- El que obtiene la sim de otra persona mediante el engaño, aprovechando la falta de diligencia del representante de telefonía que le atiende.

- El trabajador que, de manera consciente, colabora en los hechos (cuando no los ejecuta él mismo).

El primero de los casos se puede abordar con mejores procesos internos, formación y diligencia, aunque dudo que se erradique (mitigar en el mejor de los casos). El segundo caso es el más complicado de abordar, donde si bien debería quedar traza de quién ha hecho la acción (o de las credenciales usadas del compañero), y eso podría/debería tener consecuencias cuanto menos laborales, es difícil evitarlo de por sí del todo a mi entender.

No he logrado dar con algún tracking del número de casos a nivel mundial (tampoco es algo que sea sencillo compilar), pero por tener una pequeña pincelada, aquí se cita la cifra de 1.611 casos en EEUU entre el 2018 y el 2020, con un montante defraudado entorno a los 68M $ (supongo que aglutinando desfalcos bancarios, cripto, etc.).

Esto es una VERGUENZA total , y ya lo hemos hablado anteriormente, pero es que es realmente inentendible como no se corrige esto, siendo que seria muy fácil de corregir.

Aca las preguntas que te realizan son demasiado basicas, y cualquiera que mire un poco tus redes sociales o te conozca podria hacerte el simswap sin mas, preguntas estilo.

X es tu padre?

Conoces a Y?

Vive en TTTT?

Impresentables, seria tan sencillo como aunque sea a esto agregarle un ultimo codigo de seguridad.

Entonces ha sido confirmado que Vitalik no tenía esa opción de seguridad habilitada para su cuenta?
De ser así es una gran ironía que una persona bastante entendida de la seguridad computacional y los lenguajes de programación se le hubiese pasado algo que muchos que lo que no tienden de esa materia, hacen.

Personalmente creo que los ataques que SIM swapping se harán cada vez más raros con el tiempo, a la vez que las compañías migran de ese método de autentificación a otros como las llaves físicas y no lo digo porque la mayoría de los usuarios de internet estén acostumbradas a ellas, sino porque hacía allá es donde apunta el futuro de los llamados "long in sin contraseña".

Binance deja entrar en tu cuenta solo con el correo y la llave de seguridad registrada, por ejemplo.

Entiendo que en el caso de Vitalik, si hubiese tenido activada el 2FA (*), se habría evitado la situación. Supongo que el hacker aún podría haber accedido a solicitar un restablecimiento de la contraseña (que no precisa el 2FA si no me equivoco), pero para acceder con la nueva contraseña sí precisaría el 2FA, cosa que no tendría el hacker.

En todo caso, el problema mayor radica en los operadores de telefonía y, sobretodo, en sus empleados que permiten o colaboran con estas acciones de SIM Swapping. No digo que sea sencillo de erradicar, sobre todo cuando colabora un empleado (se me ocurre, sin contemplarlo con toda seriedad, requerir la lectura de la huella digital del interesado para poder proceder).

(*) Sin la opción de mensaje de texto como mecanismo 2FA, sino authentication app o security key.

Dudo mucho que Vitalik haya tenido nada que ver, en parte porque ¿para qué, si ese dinero debe suponer calderilla para él? pero es alarmante lo que comentáis. No se trata de ningún aficionado precisamente. Si alguien tan conocedor de la parte técnica es vulnerable, todos lo somos. Quizá lo mejor, llegados a este punto, es mantener un perfil bajo en redes sociales, o mejor privado/anónimo.

Golpazo, y eso que estamos hablando de un hackeo de  muy vieja escuela. Como dijo famosos en casa de herrero cuchillo de palo....

Espero que mas adelante no nos enteremos que fue una maniobra del propio Vitalik o de algun allegado a el.....

Y la delicuencia cibernética es brutal, si uno tiene la "tarea" de hacer un post ellos la de meter la estafa en su data de "bola de nieve" alguien caerá.

Ahora bien, en casa de herrero cuchillos de palo. No sé justifica que alguien ligado al área sea vulnerable de esa manera.

Claro que el sim swapping no sólo puede afectar al propio impactado, sino que puede tener ramificaciones si, a través del control del número móvil, se logra impersonar al afectado en las redes sociales.

Así ha sido el reciente caso sufrido por Vitalik Buterin, la última victima de un ejercicio de sim swapping, y cuya cuenta de Twitter fue impersonalizada para robar a sus seguidores un equivalente de 690K $ en cripto. Los hackers lograron postear un link a un site malicioso, desde el cual el usuario lector debería conectar su wallet para minar un NFT conmemorativo.

No he entrado en los detalles del timo en sí, pero la base del acceso a la cuenta de Twitter (aka X) fue la de tener activa la opción de recuperación de la cuenta desde un número de teléfono asociado. Como asoció el suyo, los hackers pudieron hacerse con la cuenta desde su sim clonada.

Ver:
https://decrypt.co/156000/vitalik-buterin-sim-swap-attack-behind-700000-twitter-hack

Vuelvo a retomar el hilo porque aca en Argentina hubo un "sim swaping" bastante importante llevado acabo por estos meses, fue hecho sobre el ministro de seguridad de la ciudad de Buenos Aires y por ams que el tema este muy ranquilo reviste un escandalo mayusuculo la informacion que se le saco.

Tambien creo que teniendo el cargo que ocupa no se puede manejar tan infantilmente por la vida y hasta llego a desconfiar de la "veracidad" de este simswapping. Para mi aca fue algo mas.

https://www.infobae.com/politica/2023/01/21/peritos-de-la-ciudad-de-buenos-aires-explicaron-como-hackearon-el-celular-del-ex-ministro-dalessandro/

Si, creo que tiene lógica la explicación. Creo que se me pasó por alto que aunque tengan los número aún necesitarían alguna forma de filtrar las victimas más viables para estafar.

Me pregunto si entonces, intentarán hacer una intersección con otras filtraciones como has sugerido.

No sé si me he expresado bien:

En el listado figuran 10M de teléfonos usuarios de whatsapp en España. Eso es casi una quinta parte de la población del país (y cuento tanto los recién nacidos y nonagenarios - tiro largo por tanto). Es decir, yo podría llamar al azar a 10 teléfono móviles inventados del país, y daría con 2 usuarios del aplicativo. Vale que con la lista es un poco más ágil, pero como digo, casi podría hacer lo mismo sin la lista, llamar diciendo que soy de la whatsapp (la cual creo que no llama de por sí) y pedir datos, que no creo que nadie me los dé al no tener mucho argumento.

Por contraste, si fuese un cliente del Exchange Gemini, y se filtrasen los teléfonos (y seguramente datos de identificación tipo nombre y apellidos como mínimo), el intento ya es muchísimo más targetizado: saben tu nombre, saben que eres usuario de un Exchange y que probablemente tengas fondos allí, lo cual, si hablamos de realizar un intento de sim swapping ya tiene por lo menos posibilidades de darme acceso a su cuenta en Gemini (si se hubiesen filtrado saldos mejor para hilar más fino).

Es decir, el listado más concreto de usuarios de un Exchange como el de Gemini da muchas más posibilidades de poder hacer phising o ingeniería social con un objetivo (criptomonedas) y con un argumento (tu cuenta en Gemini está o va a ser bloqueada, bla bla bla). El registro es de más valor, dado que voy a por un nicho más conciso de clientes de un Exchange. En el caso de los registros de whatsapp, me da que no tienen este valor ni de lejos.

Permiteme diferir acerca de la utilidad que puede tener esta información.
Creo que con el número de teléfono es más que suficiente para hacer mucho daño, un atacante puede llamar y hacerse pasar por un proveedor de servicios de la misma operadora y engañar para que la victima suelte todo tipo de datos relevantes. Con esos datos pueden proceder con el Simswap facilmente.

Lamentablemente, muchos no saben de este tipo de ataques aún, ni como funcionan, por lo que más de uno dará su información sin pensarlo mucho.

Parece que el artículo de xatakamovil se equivoca al decir que España no se encuentra en la lista de países. El origen de la información creo que parte de este artículo de cybernews, donde el desglose de los datos hackeados por país es el siguiente:

España figura con casi 11 M de registros, lo cual es un número muy significativo de la base de usuarios activos de la herramienta.

He intentado ver el detalle de la información obtenida, y parece que no va más allá del número de teléfono. Es decir, alguien que se haga con el fichero conoce una serie (enorme) de teléfonos, pero sin más contexto de que son usuarios de whatsapp y sin saber datos personales adicionales.

Si es así, la lista se puede usar para hacer acciones de phishing, acciones comerciales, dar algo por saco en Whatsapp, y demás, pero tampoco lo veo tan útil. Lo que es más útil es cuando el listado contiene datos personales y/o un contexto targetizado, como por ejemplo, cuando el listado procede del hackeo de un Exchange determinado. En este supuesto, los hackers tienen un contexto para hacer el phising más efectivo (usuario de un Exchange determinado, ligado a criptomonedas, con posible nombre de pila de la persona). En el caso de una lista de whatsapp, parece más bien una lista fría de teléfonos sin apenas contexto.

Me gustaría aprovechar este hilo para compartirles una noticia ciertamente preocupante que encontré hoy y parece ser verídica. tiene que ver con el tema del Simswap, por cierto.

---

WhatsApp sufre una brecha de seguridad: más de 500 millones de cuentas filtradas

Fuente: https://www.xatakamovil.com/seguridad/whatsapp-sufre-brecha-seguridad-500-millones-cuentas-filtradas

---

Considerando que en el mundo hispano Whatsapp es una aplicación que se usa ampliamente, el hecho de que esta cantidad de números de teléfono de usuarios activos se filtre significa que inevitablemente se darán casos de Simswap, lo cuales sospecho serán herramienta para cualquier tipo de estafa que se nos ocurra: Suplantación de identidad, retiro de fondos de bancos y exchanges, etc.

Si usan Whatsapp, por favor activen la opción de 2FA que la aplicación ofrece, por lo menos eso debería evitar que otra persona que no sean ustedes acceda a sus contactos y chats desde un dispositivo adicional. Y como siempre, utilizar tokens diferentes al SMS en exchanges y bancos.