Topic: Sim swapping – lo oímos menos últimamente, pero sigue existiendo - page 2. (Read 527 times)

La cuestión con las preguntas de seguridad, es que es un formato que en la mayoría de los casos, garantizan que el usuario pueda ir a través del proceso de recuperación de forma efectiva y sin asistencia de un operador. Eso es especialmente deseable cuando un servicio bancario o de telefonía va dirigido no solo a un público joven (que saben cómo moverse bien en el ámbito tecnológico), sino tambien a personas con desconocimiento de tecnología o seguridad básica.

El Banco de Venezuela posee método de preguntas y respuestas para reinicio de clave, por ejemplo. ¿es un peligro? Si, lo es.

Pero en su mente les funcionará por cuan barato les sale en equipos de atención al cliente. Se trata de facilidad para ambos el operador y el cliente. Lamentablemente, también es una facilidad para los criminales.

Lo que pasa es que se dan dos familias de casos de uso:

- El que obtiene la sim de otra persona mediante el engaño, aprovechando la falta de diligencia del representante de telefonía que le atiende.

- El trabajador que, de manera consciente, colabora en los hechos (cuando no los ejecuta él mismo).

El primero de los casos se puede abordar con mejores procesos internos, formación y diligencia, aunque dudo que se erradique (mitigar en el mejor de los casos). El segundo caso es el más complicado de abordar, donde si bien debería quedar traza de quién ha hecho la acción (o de las credenciales usadas del compañero), y eso podría/debería tener consecuencias cuanto menos laborales, es difícil evitarlo de por sí del todo a mi entender.

No he logrado dar con algún tracking del número de casos a nivel mundial (tampoco es algo que sea sencillo compilar), pero por tener una pequeña pincelada, aquí se cita la cifra de 1.611 casos en EEUU entre el 2018 y el 2020, con un montante defraudado entorno a los 68M $ (supongo que aglutinando desfalcos bancarios, cripto, etc.).

Esto es una VERGUENZA total , y ya lo hemos hablado anteriormente, pero es que es realmente inentendible como no se corrige esto, siendo que seria muy fácil de corregir.

Aca las preguntas que te realizan son demasiado basicas, y cualquiera que mire un poco tus redes sociales o te conozca podria hacerte el simswap sin mas, preguntas estilo.

X es tu padre?

Conoces a Y?

Vive en TTTT?

Impresentables, seria tan sencillo como aunque sea a esto agregarle un ultimo codigo de seguridad.

Entonces ha sido confirmado que Vitalik no tenía esa opción de seguridad habilitada para su cuenta?
De ser así es una gran ironía que una persona bastante entendida de la seguridad computacional y los lenguajes de programación se le hubiese pasado algo que muchos que lo que no tienden de esa materia, hacen.

Personalmente creo que los ataques que SIM swapping se harán cada vez más raros con el tiempo, a la vez que las compañías migran de ese método de autentificación a otros como las llaves físicas y no lo digo porque la mayoría de los usuarios de internet estén acostumbradas a ellas, sino porque hacía allá es donde apunta el futuro de los llamados "long in sin contraseña".

Binance deja entrar en tu cuenta solo con el correo y la llave de seguridad registrada, por ejemplo.

Entiendo que en el caso de Vitalik, si hubiese tenido activada el 2FA (*), se habría evitado la situación. Supongo que el hacker aún podría haber accedido a solicitar un restablecimiento de la contraseña (que no precisa el 2FA si no me equivoco), pero para acceder con la nueva contraseña sí precisaría el 2FA, cosa que no tendría el hacker.

En todo caso, el problema mayor radica en los operadores de telefonía y, sobretodo, en sus empleados que permiten o colaboran con estas acciones de SIM Swapping. No digo que sea sencillo de erradicar, sobre todo cuando colabora un empleado (se me ocurre, sin contemplarlo con toda seriedad, requerir la lectura de la huella digital del interesado para poder proceder).

(*) Sin la opción de mensaje de texto como mecanismo 2FA, sino authentication app o security key.

Dudo mucho que Vitalik haya tenido nada que ver, en parte porque ¿para qué, si ese dinero debe suponer calderilla para él? pero es alarmante lo que comentáis. No se trata de ningún aficionado precisamente. Si alguien tan conocedor de la parte técnica es vulnerable, todos lo somos. Quizá lo mejor, llegados a este punto, es mantener un perfil bajo en redes sociales, o mejor privado/anónimo.

Golpazo, y eso que estamos hablando de un hackeo de  muy vieja escuela. Como dijo famosos en casa de herrero cuchillo de palo....

Espero que mas adelante no nos enteremos que fue una maniobra del propio Vitalik o de algun allegado a el.....

Y la delicuencia cibernética es brutal, si uno tiene la "tarea" de hacer un post ellos la de meter la estafa en su data de "bola de nieve" alguien caerá.

Ahora bien, en casa de herrero cuchillos de palo. No sé justifica que alguien ligado al área sea vulnerable de esa manera.

Claro que el sim swapping no sólo puede afectar al propio impactado, sino que puede tener ramificaciones si, a través del control del número móvil, se logra impersonar al afectado en las redes sociales.

Así ha sido el reciente caso sufrido por Vitalik Buterin, la última victima de un ejercicio de sim swapping, y cuya cuenta de Twitter fue impersonalizada para robar a sus seguidores un equivalente de 690K $ en cripto. Los hackers lograron postear un link a un site malicioso, desde el cual el usuario lector debería conectar su wallet para minar un NFT conmemorativo.

No he entrado en los detalles del timo en sí, pero la base del acceso a la cuenta de Twitter (aka X) fue la de tener activa la opción de recuperación de la cuenta desde un número de teléfono asociado. Como asoció el suyo, los hackers pudieron hacerse con la cuenta desde su sim clonada.

Ver:
https://decrypt.co/156000/vitalik-buterin-sim-swap-attack-behind-700000-twitter-hack

Vuelvo a retomar el hilo porque aca en Argentina hubo un "sim swaping" bastante importante llevado acabo por estos meses, fue hecho sobre el ministro de seguridad de la ciudad de Buenos Aires y por ams que el tema este muy ranquilo reviste un escandalo mayusuculo la informacion que se le saco.

Tambien creo que teniendo el cargo que ocupa no se puede manejar tan infantilmente por la vida y hasta llego a desconfiar de la "veracidad" de este simswapping. Para mi aca fue algo mas.

https://www.infobae.com/politica/2023/01/21/peritos-de-la-ciudad-de-buenos-aires-explicaron-como-hackearon-el-celular-del-ex-ministro-dalessandro/

Si, creo que tiene lógica la explicación. Creo que se me pasó por alto que aunque tengan los número aún necesitarían alguna forma de filtrar las victimas más viables para estafar.

Me pregunto si entonces, intentarán hacer una intersección con otras filtraciones como has sugerido.

No sé si me he expresado bien:

En el listado figuran 10M de teléfonos usuarios de whatsapp en España. Eso es casi una quinta parte de la población del país (y cuento tanto los recién nacidos y nonagenarios - tiro largo por tanto). Es decir, yo podría llamar al azar a 10 teléfono móviles inventados del país, y daría con 2 usuarios del aplicativo. Vale que con la lista es un poco más ágil, pero como digo, casi podría hacer lo mismo sin la lista, llamar diciendo que soy de la whatsapp (la cual creo que no llama de por sí) y pedir datos, que no creo que nadie me los dé al no tener mucho argumento.

Por contraste, si fuese un cliente del Exchange Gemini, y se filtrasen los teléfonos (y seguramente datos de identificación tipo nombre y apellidos como mínimo), el intento ya es muchísimo más targetizado: saben tu nombre, saben que eres usuario de un Exchange y que probablemente tengas fondos allí, lo cual, si hablamos de realizar un intento de sim swapping ya tiene por lo menos posibilidades de darme acceso a su cuenta en Gemini (si se hubiesen filtrado saldos mejor para hilar más fino).

Es decir, el listado más concreto de usuarios de un Exchange como el de Gemini da muchas más posibilidades de poder hacer phising o ingeniería social con un objetivo (criptomonedas) y con un argumento (tu cuenta en Gemini está o va a ser bloqueada, bla bla bla). El registro es de más valor, dado que voy a por un nicho más conciso de clientes de un Exchange. En el caso de los registros de whatsapp, me da que no tienen este valor ni de lejos.

Permiteme diferir acerca de la utilidad que puede tener esta información.
Creo que con el número de teléfono es más que suficiente para hacer mucho daño, un atacante puede llamar y hacerse pasar por un proveedor de servicios de la misma operadora y engañar para que la victima suelte todo tipo de datos relevantes. Con esos datos pueden proceder con el Simswap facilmente.

Lamentablemente, muchos no saben de este tipo de ataques aún, ni como funcionan, por lo que más de uno dará su información sin pensarlo mucho.

Parece que el artículo de xatakamovil se equivoca al decir que España no se encuentra en la lista de países. El origen de la información creo que parte de este artículo de cybernews, donde el desglose de los datos hackeados por país es el siguiente:

España figura con casi 11 M de registros, lo cual es un número muy significativo de la base de usuarios activos de la herramienta.

He intentado ver el detalle de la información obtenida, y parece que no va más allá del número de teléfono. Es decir, alguien que se haga con el fichero conoce una serie (enorme) de teléfonos, pero sin más contexto de que son usuarios de whatsapp y sin saber datos personales adicionales.

Si es así, la lista se puede usar para hacer acciones de phishing, acciones comerciales, dar algo por saco en Whatsapp, y demás, pero tampoco lo veo tan útil. Lo que es más útil es cuando el listado contiene datos personales y/o un contexto targetizado, como por ejemplo, cuando el listado procede del hackeo de un Exchange determinado. En este supuesto, los hackers tienen un contexto para hacer el phising más efectivo (usuario de un Exchange determinado, ligado a criptomonedas, con posible nombre de pila de la persona). En el caso de una lista de whatsapp, parece más bien una lista fría de teléfonos sin apenas contexto.

Me gustaría aprovechar este hilo para compartirles una noticia ciertamente preocupante que encontré hoy y parece ser verídica. tiene que ver con el tema del Simswap, por cierto.

---

WhatsApp sufre una brecha de seguridad: más de 500 millones de cuentas filtradas

Fuente: https://www.xatakamovil.com/seguridad/whatsapp-sufre-brecha-seguridad-500-millones-cuentas-filtradas

---

Considerando que en el mundo hispano Whatsapp es una aplicación que se usa ampliamente, el hecho de que esta cantidad de números de teléfono de usuarios activos se filtre significa que inevitablemente se darán casos de Simswap, lo cuales sospecho serán herramienta para cualquier tipo de estafa que se nos ocurra: Suplantación de identidad, retiro de fondos de bancos y exchanges, etc.

Si usan Whatsapp, por favor activen la opción de 2FA que la aplicación ofrece, por lo menos eso debería evitar que otra persona que no sean ustedes acceda a sus contactos y chats desde un dispositivo adicional. Y como siempre, utilizar tokens diferentes al SMS en exchanges y bancos.

En principio, al no haber un SIM físico al pasarse al eSIM, la teoría dice que se reduce el vector de ataque de pedir un duplicado en la tienda (con compinche o incompetente de por medio), pero la eSIM tiene su componente software, y el software siempre acaba encontrando puntos de vulnerabilidad eventualmente.

Supongo que, en todo caso, es el propio proceso de cambio de terminal de las compañías, y preservación del número de eSIM, lo que nos dará una pista. Por ejemplo, leyendo el siguiente procedimiento, da la sensación de que con algo de ingeniería social (acceso al email, a cuenta Virgin) se puede lograr:
https://www.virginmobile.ae/help/what-should-i-do-if-i-lose-my-esim-registered-device/

He visto que ya hay casos de eSIM swapping, así que tampoco hay que bajar la guardia:
https://edtimes.in/all-you-need-to-know-about-e-sim-card-swapping-scam/

Vamos, que no parece que no vaya a proteger en demasía las cuentas en Exchanges, carteras custodiales, bancos y demás, y hay que tener las precauciones activadas.

Ya que estamos con este hilo.

Les parece que la adopcion masiva del e-sim supondra mas seguridad que la sim tradicional en este tipo de estafas?. O contrario a esto tambien sera mas dificil una vez estafados demostrar nuestra inocencia?.

Lo que voy leyendo es todo ventajas de la e-sim supuestamente en todos los apartados y mucho ams en el apartado seguridad, pero bueno siempre hay algo que no nos cuentan.

Se me antojan ejemplos de fraude muy elaborados, para lo que estamos acostumbrados en el día a día. Por otro lado, el primer caso habla de Brasil, el segundo de Reino Unido. Está bien saber que siguen sucediendo, y puede que cada vez más, para tener las alertas correspondientes siempre activas. Pero no me parece que sean prácticas tan comunes como para tenerles miedo. De momento. Al menos en el caso del Sim swapping, el segundo método sí que parece más fácil de realizar y, peor aún, frecuente.

No siendo de la misma problemática, pero con cierta relación tangencial, otro aspecto a cuidar es el spoofing de números de teléfono, mediante el cual, un maleante puede enviarnos SMS maliciosos o hacernos llamadas, impersonando los teléfonos oficiales de empresas, dotando así de mayor credibilidad al mensaje recibido.

Por ejemplificar, en UK has detenido a más de 100 delincuentes que habrían intentado estafar a más de 200.000 víctimas con todo tipo de timos, utilizando el spoofing telefónico como base, aunque el pool potencial de delincuentes que usaron este servicio se estima en 59.000. Curiosamente, han seguido el rastro de pagos por el servicio con bitcoin para llegar a dar con algunos de ellos, aunque no detalla exactamente cómo ni la cantidad de casos.

Ver:
https://www.diariobitcoin.com/paises/europa/reino-unido-europa/100-arrestados-miles-de-victimas-y-bitcoin-en-mayor-fraude-de-reino-unido/

Hay Sms, Código por email y 2Fa con App, son tres pin, entonces, pueden que te clonen la sim pero como hacen con la App (Pin) que se genera.

De hecho deberían agregarse las direcciones a la lista blanca, donde se repite el proceso anterior, y de hecho a pesar de tener una lista blanca puedes optar por solicitar que se ejecute nuevamente las tres comprobaciones anteriores incluso si están en la lista blanca.

Por cierto tienen también un código antiphishing, una clave de 4 dígitos que aparece en cada email que te envían para corroborar como adicional que el email que recibes es de Binance.

Hay que señalar que el 2fa puede ser por email, por sms y/o por APP, visto lo anterior como dice Darxiomi es lamentable que de seguro en la demanda esto salga a relucir y es obvio que hay negligencia interna, pero eso es increíble que algunas personas los llaman de servicios por ejemplo la empresa de Tv por satélite y les piden confirmar datos y chilin, chilin, queremos corroborar su DNI, teléfono, fecha de nacimiento, etc...

Esta noticia tristemente es la mejor publicidad que nos recuerda siempre que estamos expuestos, por mucha experiencia que se tenga, cuanto uno màs cree saber, entonces resulta en la frase colegial; "confianza mato al pescado" se viene a la mente esa por el termino anglo "fish" que literalmente no significa pescado pero pareciera.