“Influencers” de YouTube obtienen tokens 2FA con phishing

Credit to Author: Naked Security| Date: Wed, 25 Sep 2019 10:22:04 +0000

Una ola de secuestros de cuentas de YouTubers atacó a usuarios de alto perfil, muchos de ellos en la comunidad de auto-tuning y reseñas de automóviles, a pesar de estar algunos de ellos protegidos por la autenticación de dos factores (2FA), informó ZDNet. .

Catalin Cimpanu de ZDNet publicó enlaces a docenas de publicaciones de YouTubers que acudieron al soporte de Twitter, Instagram y / o YouTube para quejarse o pedir ayuda. Por ejemplo una publicación en Instagram del creador de Built, un canal de YouTube que hasta el lunes por la tarde había desaparecido a raíz de lo que parece ser un ataque coordinado.

Según un video de YouTube publicado por Life of Palos durante el fin de semana, alrededor de 100 mil creadores de la comunidad de automóviles de YouTube recibieron un correo electrónico de phishing que se cree que es la primera fase de este ataque.

Un ataque coordinado

Este aparentemente no fue un ataque al azar. Los delincuentes que se hicieron cargo de las cuentas fueron tras aquellos con un alto número de seguidores, en otras palabras, cuentas de alto valor que pueden vender en foros dedicados al tráfico de cuentas pirateadas.

ZDNet habló con un hacker llamado Askamani, activo en OGUsers, un foro de Internet conocido por el tráfico de cuentas pirateadas. El pirata informático dijo que parece que “alguien tiene en sus manos una lista de correos electrónicos con direcciones de un sector específico” y que está repleta de detalles de los “influencers”.

Mi dinero está en alguien que piratea una de esas bases de datos de influencers de redes sociales.

Si hay un aumento en las quejas, como dijiste, entonces alguien tuvo en sus manos una buena base de datos y [ahora] están obteniendo una buena inversión por su dinero.

Modus operandi

Aparentemente, los secuestros de cuentas se lograron con una campaña de phishing que atrajo a los usuarios a sitios donde las víctimas debían iniciar sesión con sus credenciales de cuenta de YouTube.

Según los informes, el personal de YouTube le dijo al propietario de un canal que así es como ocurrieron los ataques:

  1. Los correos electrónicos de phishing engañaron a los creadores de contenido para que visitaran páginas falsas de inicio de sesión de Google, donde los atacantes capturaron las credenciales de la cuenta de sus víctimas.
  2. Los atacantes irrumpieron en las cuentas de Google de las víctimas.
  3. Luego, reasignaron canales populares con grandes seguidores a nuevos propietarios.
  4. Finalmente, los delincuentes cambiaron las URL, dando al propietario de la cuenta original y a sus seguidores la impresión de que las cuentas robadas habían sido eliminadas.

Al menos algunos de los YouTubers involucrados dijeron que tenían habilitado 2FA.

El escenario de phishing de la cuenta de Google descrito por las víctimas recuerda a lo que el investigador Piotr Duszyński mostró que podría hacerse con la herramienta de pentesting Modlishka que publicó en enero de 2019, que llevó a algunos, como el canal de YouTube Life of Palos, a sugerir que se utilizó para llevar a cabo este ataque.

Modlishka, un kit de herramientas de phishing basado en un proxy inverso, es capaz de automatizar el phishing de contraseñas de un solo uso (OTP) comúnmente utilizadas para 2FA. Sin embargo, no es la única forma de capturar los códigos SMS o generados por la aplicación, y existen ataques con éxito contra 2FA anteriores a su lanzamiento.

En diciembre de 2018, con unos días de diferencia y antes de que Modlishka fuera lanzado, vimos dos informes separados de ataques en los que el phishing se utilizó con éxito para obtener OTP como parte de campañas específicas.

El primero fue contra objetivos estadounidenses de alto valor, incluidos funcionarios del gobierno de EEUU, científicos nucleares, periodistas, activistas de derechos humanos y empleados de centros de estudios.

Amnistía Internacional documentó que el siguiente ataque fue parte de una campaña para entrar en las cuentas de correo electrónico de más de 1.000 activistas de derechos humanos.

Como informamos cuando se lanzó Modlishka, en un nivel, es simplemente una herramienta que se encuentra en el mismo servidor que un sitio de phishing, capturando cualquier credencial y tokens 2FA que pueda engañar que ingrese el usuario.

Pero en lugar de clonar el sitio phishing, por ejemplo, Gmail, aunque funcionaría igual de bien en un ataque contra cualquier servicio en el que se use la misma autenticación, se comporta como un proxy inverso, alimentando inteligentemente el contenido del usuario desde el sitio real haciendo que un ataque parezca más convincente.

Para un usuario, parece que están interactuando con el sitio real porque lo están, aunque en un dominio diferente.

Quizás en lugar de solo plantear si fue Modlishka deberíamos preguntar lo siguiente: si no se puede contar con 2FA para protegerse del phishing, ¿con qué se puede contar? Esta es una pregunta importante. Como señaló Life of Palos, aquí hay creadores de YouTube cuyos medios de vida están en juego. Life of Palos habló con el propietario de Built, por ejemplo: un hombre que recientemente renunció a su trabajo para dedicarse a tiempo completo a su canal, un canal que ha sido robado, bloqueado, almacenado y empaquetado.

¿Qué hacer?

La autenticación de dos factores que se basa en un código ingresado manualmente ofrece una gran seguridad, pero es principalmente una defensa contra las contraseñas robadas, reutilizadas o fácilmente adivinadas y no contra el phishing.

Las credenciales de phishing exitosas que incluyen un código OTP 2FA son más difíciles de capturar que simplemente un nombre de usuario y contraseña, pero no son imposibles. La dificultad para los atacantes es que los códigos OTP tienen una vida útil muy corta y no pueden almacenarse para su uso posterior. Entonces, para tener éxito, un atacante tiene que encontrar una manera de obtener y usar el código OTP dentro de una ventana de 30 segundos.

Sin embargo, hay una forma de autenticación de dos factores que es mucho más resistente al phishing: tokens de hardware basados ​​en las especificaciones FIDO U2F o WebAuthn, como Yubikey de Yubico o el propio Titan de Google.

Del mismo modo, si confía en un administrador de contraseñas (software que creará, recordará e ingresará sus contraseñas por usted), no ingresará su contraseña en el sitio incorrecto, sin importar cuán convincente sea.

 

Como siempre desde Sophos recordamos que la concienciación de los usuarios es fundamental, prueba nuestra herramienta de campañas de Phishing simuladas Sophos Phish Threat

 

 

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook o síguenos en Twitter para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro boletín de seguridad en tu correo electrónico, suscríbete en la siguiente aplicación:

http://feeds.feedburner.com/sophos/dgdY