Comienza la cuenta atrás para Keyfactor Tech Days | ¡Asegura tu plaza hoy mismo!

Viejos trucos, nuevos objetivos

Los que trabajamos en el campo de la seguridad de la información estamos familiarizados con la eficacia de la ingeniería social y, aunque todavía hay quienes envían dinero a desconocidos a través de una simple llamada telefónica o un correo electrónico, en general la gente está mejorando a la hora de no dar su propia información personal. Pero los atacantes se adaptan con rapidez y se han centrado en un objetivo diferente: su compañía telefónica.

Que los piratas informáticos ataquen a los operadores, o a las empresas en general, no es nada nuevo, pero muy recientemente han decidido recurrir a la clásica ingeniería social. ¿Y a quién se dirigen? Los YouTubers. Puede parecer un objetivo inútil, pero los YouTubers más populares ganan cientos de miles, si no millones, de dólares a través de ingresos por publicidad, asociaciones y patrocinios.

El 8 de julio, el popular YouTuber Ethan Klein, de H3H3Productions, grabó un vídeo en el que explicaba cómo unos atacantes habían conseguido su tarjeta sim de T-Mobile(https://www.youtube.com/watch?v=caVEiitI2vg ). El atacante llamó al servicio de atención al cliente de T-Mobile haciéndose pasar por un empleado de una sucursal, diciendo que Ethan estaba en la tienda y necesitaba activar una nueva tarjeta SIM. El técnico al teléfono desactivaría la tarjeta SIM antigua y activaría la nueva. El atacante tendría ahora todo lo que estaba guardado en la antigua tarjeta sim: contactos, contraseñas, historial del navegador y, en este caso, su cuenta de YouTube. Da la casualidad de que Ethan fue avisado por otros YouTubers y pudo resolver la situación rápidamente, pero el atacante siguió teniendo toda la información de su teléfono durante un tiempo. Su cuenta estaba incluso protegida con un pin y el atacante pudo conseguir la tarjeta SIM.

Aunque T-Mobile ha estado bastante callada al respecto, reconoció el fallo en su flujo de trabajo en twitter, https://twitter.com/JohnLegere/status/751490098240167937, e hizo un cambio en la política de la empresa casi de inmediato:

WC1.jpg

Los viejos trucos siguen funcionando; tanto si los atacantes le envían un correo electrónico haciéndose pasar por su banco, como si llaman a su compañía telefónica haciéndose pasar por un empleado, la ingeniería social no va a desaparecer. La gente sigue estando demasiado dispuesta a dar información sin apenas verificar su identidad, y su información personal es cada vez menos personal y menos suya.