{"id":16517,"date":"2019-10-07T09:21:08","date_gmt":"2019-10-07T17:21:08","guid":{"rendered":"http:\/\/www.palada.net\/index.php\/2019\/10\/07\/news-10257\/"},"modified":"2019-10-07T09:21:08","modified_gmt":"2019-10-07T17:21:08","slug":"news-10257","status":"publish","type":"post","link":"http:\/\/www.palada.net\/index.php\/2019\/10\/07\/news-10257\/","title":{"rendered":"\u201cInfluencers\u201d de YouTube obtienen tokens 2FA con phishing"},"content":{"rendered":"

<\/p>\n

Credit to Author: Naked Security| Date: Wed, 25 Sep 2019 10:22:04 +0000<\/strong><\/p>\n

\n

Una ola de secuestros de cuentas de YouTubers atac\u00f3 a usuarios de alto perfil, muchos de ellos en la comunidad de auto-tuning y rese\u00f1as de autom\u00f3viles, a pesar de estar algunos de ellos protegidos por la autenticaci\u00f3n de dos factores (2FA), inform\u00f3 ZDNet<\/a>. .<\/p>\n

Catalin Cimpanu de ZDNet public\u00f3 enlaces a docenas de publicaciones de YouTubers que acudieron al soporte de Twitter, Instagram y \/ o YouTube para quejarse o pedir ayuda. Por ejemplo una publicaci\u00f3n en Instagram del creador de Built, un canal de YouTube que hasta el lunes por la tarde hab\u00eda desaparecido<\/a> a ra\u00edz de lo que parece ser un ataque coordinado.<\/p>\n

Seg\u00fan un video de YouTube<\/a> publicado por Life of Palos durante el fin de semana, alrededor de 100 mil creadores de la comunidad de autom\u00f3viles de YouTube recibieron un correo electr\u00f3nico de phishing que se cree que es la primera fase de este ataque.<\/p>\n

Un ataque coordinado<\/h2>\n

Este aparentemente no fue un ataque al azar. Los delincuentes que se hicieron cargo de las cuentas fueron tras aquellos con un alto n\u00famero de seguidores, en otras palabras, cuentas de alto valor que pueden vender en foros dedicados al tr\u00e1fico de cuentas pirateadas.<\/p>\n

ZDNet habl\u00f3 con un hacker llamado Askamani, activo en OGUsers, un foro de Internet conocido por el tr\u00e1fico de cuentas pirateadas. El pirata inform\u00e1tico dijo que parece que “alguien tiene en sus manos una lista de correos electr\u00f3nicos con direcciones de un sector espec\u00edfico” y que est\u00e1 repleta de detalles de los “influencers”.<\/p>\n

Mi dinero est\u00e1 en alguien que piratea una de esas bases de datos de influencers de redes sociales.<\/em><\/p>\n

Si hay un aumento en las quejas, como dijiste, entonces alguien tuvo en sus manos una buena base de datos y [ahora] est\u00e1n obteniendo una buena inversi\u00f3n por su dinero.<\/em><\/p>\n

Modus operandi<\/h2>\n

Aparentemente, los secuestros de cuentas se lograron con una campa\u00f1a de phishing que atrajo a los usuarios a sitios donde las v\u00edctimas deb\u00edan iniciar sesi\u00f3n con sus credenciales de cuenta de YouTube.<\/p>\n

Seg\u00fan los informes, el personal de YouTube le dijo al propietario de un canal que as\u00ed es como ocurrieron los ataques:<\/p>\n

    \n
  1. Los correos electr\u00f3nicos de phishing enga\u00f1aron a los creadores de contenido para que visitaran p\u00e1ginas falsas de inicio de sesi\u00f3n de Google, donde los atacantes capturaron las credenciales de la cuenta de sus v\u00edctimas.<\/li>\n
  2. Los atacantes irrumpieron en las cuentas de Google de las v\u00edctimas.<\/li>\n
  3. Luego, reasignaron canales populares con grandes seguidores a nuevos propietarios.<\/li>\n
  4. Finalmente, los delincuentes cambiaron las URL, dando al propietario de la cuenta original y a sus seguidores la impresi\u00f3n de que las cuentas robadas hab\u00edan sido eliminadas.<\/li>\n<\/ol>\n

    Al menos algunos de los YouTubers involucrados dijeron que ten\u00edan habilitado 2FA.<\/p>\n

    El escenario de phishing de la cuenta de Google descrito por las v\u00edctimas recuerda a lo que el investigador Piotr Duszy\u0144ski mostr\u00f3 que podr\u00eda hacerse con la herramienta de pentesting<\/a> Modlishka que public\u00f3 en enero de 2019, que llev\u00f3 a algunos, como el canal de YouTube Life of Palos, a sugerir que se utiliz\u00f3 para llevar a cabo este ataque.<\/p>\n

    Modlishka, un kit de herramientas de phishing basado en un proxy inverso, es capaz de automatizar el phishing de contrase\u00f1as de un solo uso (OTP) com\u00fanmente utilizadas para 2FA. Sin embargo, no es la \u00fanica forma de capturar los c\u00f3digos SMS o generados por la aplicaci\u00f3n, y existen ataques con \u00e9xito contra 2FA anteriores a su lanzamiento.<\/p>\n

    En diciembre de 2018, con unos d\u00edas de diferencia y antes de que Modlishka fuera lanzado, vimos dos informes separados de ataques en los que el phishing se utiliz\u00f3 con \u00e9xito para obtener OTP como parte de campa\u00f1as espec\u00edficas.<\/p>\n

    El primero fue contra objetivos estadounidenses de alto valor<\/a>, incluidos funcionarios del gobierno de EEUU, cient\u00edficos nucleares, periodistas, activistas de derechos humanos y empleados de centros de estudios.<\/p>\n

    Amnist\u00eda Internacional document\u00f3 que el siguiente ataque<\/a> fue parte de una campa\u00f1a para entrar en las cuentas de correo electr\u00f3nico de m\u00e1s de 1.000 activistas de derechos humanos.<\/p>\n

    Como informamos cuando se lanz\u00f3 Modlishka<\/a>, en un nivel, es simplemente una herramienta que se encuentra en el mismo servidor que un sitio de phishing, capturando cualquier credencial y tokens 2FA que pueda enga\u00f1ar que ingrese el usuario.<\/p>\n

    Pero en lugar de clonar el sitio phishing, por ejemplo, Gmail, aunque funcionar\u00eda igual de bien en un ataque contra cualquier servicio en el que se use la misma autenticaci\u00f3n, se comporta como un proxy inverso, alimentando inteligentemente el contenido del usuario desde el sitio real haciendo que un ataque parezca m\u00e1s convincente.<\/p>\n

    Para un usuario, parece que est\u00e1n interactuando con el sitio real porque lo est\u00e1n, aunque en un dominio diferente.<\/p>\n

    Quiz\u00e1s en lugar de solo plantear si fue Modlishka deber\u00edamos preguntar lo siguiente: si no se puede contar con 2FA para protegerse del phishing, \u00bfcon qu\u00e9 se puede contar? Esta es una pregunta importante. Como se\u00f1al\u00f3 Life of Palos, aqu\u00ed hay creadores de YouTube cuyos medios de vida est\u00e1n en juego. Life of Palos habl\u00f3 con el propietario de Built, por ejemplo: un hombre que recientemente renunci\u00f3 a su trabajo para dedicarse a tiempo completo a su canal, un canal que ha sido robado, bloqueado, almacenado y empaquetado.<\/p>\n

    \u00bfQu\u00e9 hacer?<\/h2>\n

    La autenticaci\u00f3n de dos factores que se basa en un c\u00f3digo ingresado manualmente ofrece una gran seguridad, pero es principalmente una defensa contra las contrase\u00f1as robadas, reutilizadas o f\u00e1cilmente adivinadas y no contra el phishing.<\/p>\n

    Las credenciales de phishing exitosas que incluyen un c\u00f3digo OTP 2FA son m\u00e1s dif\u00edciles de capturar que simplemente un nombre de usuario y contrase\u00f1a, pero no son imposibles. La dificultad para los atacantes es que los c\u00f3digos OTP tienen una vida \u00fatil muy corta y no pueden almacenarse para su uso posterior. Entonces, para tener \u00e9xito, un atacante tiene que encontrar una manera de obtener y usar el c\u00f3digo OTP dentro de una ventana de 30 segundos.<\/p>\n

    Sin embargo, hay una forma de autenticaci\u00f3n de dos factores que es mucho m\u00e1s resistente al phishing: tokens de hardware basados \u200b\u200ben las especificaciones FIDO U2F o WebAuthn<\/a>, como Yubikey de Yubico o el propio Titan de Google.<\/p>\n

    Del mismo modo, si conf\u00eda en un administrador de contrase\u00f1as (software que crear\u00e1, recordar\u00e1 e ingresar\u00e1 sus contrase\u00f1as por usted), no ingresar\u00e1 su contrase\u00f1a en el sitio incorrecto, sin importar cu\u00e1n convincente sea.<\/p>\n

     <\/p>\n

    Como siempre desde Sophos recordamos que la concienciaci\u00f3n de los usuarios es fundamental, prueba nuestra herramienta de campa\u00f1as de Phishing simuladas Sophos Phish Threat<\/a><\/p>\n

     <\/p>\n

     <\/p>\n

    Para manteneros al d\u00eda de las \u00faltimas amenazas<\/strong> haceros fans de nuestra p\u00e1gina de Facebook<\/a> o s\u00edguenos en Twitter<\/a> para intercambiar experiencias en torno al mundo de la seguridad. Si deseas recibir nuestro bolet\u00edn de seguridad<\/a> en tu correo electr\u00f3nico, suscr\u00edbete en la siguiente aplicaci\u00f3n:<\/p>\n

    <\/p>\n
    <\/div>\n

    \t