El otro día, los expertos en seguridad de la información de la compañía Cerfta Lab publicaron los resultados de un estudio de varias cuentas de usuarios pirateadas como Yahoo Mail y Gmail. Al final resultó que, la tecnología de autenticación de dos factores utilizada por estos servicios tiene una serie de inconvenientes que permiten a los atacantes actuar.
Los autores de la investigación creen que los piratas informáticos se llevaron a cabo por orden del gobierno iraní. El propósito de toda la campaña fue la información de cuentas pirateadas. El ataque se llevó a cabo mediante correo electrónico con una imagen oculta y un guión.
La carta en sí era un mensaje sobre supuesta actividad sospechosa detectada en la cuenta de usuario de los servicios de correo mencionados. Estos correos electrónicos se enviaron desde direcciones como mailservices @ gmail [.] Com, noreply.customermails@gmail [.] Com, cliente] email-delivery [.] Información. Por lo tanto, los usuarios no muy avanzados de estos mensajes no eran sospechosos.
Por el contrario, muchos buscaron hacer clic en el botón "proteger cuenta", que redirigió al usuario a la página de inicio de sesión falsa del servicio de correo. Cuando un usuario ingresó sus datos, los atacantes los utilizaron casi en tiempo real para acceder a una cuenta real. Un usuario que tiene activada la autenticación de dos factores recibió un SMS con una contraseña única en el teléfono, los atacantes de alguna manera tuvieron la oportunidad de iniciar sesión en la cuenta. Aprendieron a eludir la protección de Google Authenticator.
Los investigadores trazaron los dominios y servidores que están asociados con ellos.
Los atacantes utilizaron un sistema VPN y un proxy para ocultar su paradero. Pero los investigadores lograron restaurar el rango de IP original desde el cual se llevó a cabo el ataque. Estas fueron direcciones iraníes. Además, métodos similares de trabajo han sido y están siendo utilizados por el grupo de galletas Charming Kitten, que está afiliado al gobierno iraní.
Las víctimas que los atacantes buscaban eran, en primer lugar, periodistas, políticos, varios tipos de activistas públicos de muchos países del mundo.
Está claro que la forma principal de protegerse de ataques de este tipo es simplemente no abrir correos electrónicos sospechosos. Desafortunadamente, este método no siempre funciona, porque muchas personas no ven nada sospechoso en una carta escrita supuestamente por Google o Yahoo. El uso de teclas físicas (por ejemplo, YubiKey), que permiten la autenticación al conectar un dispositivo USB al puerto, puede ayudar.
Google ha llevado a cabo un estudio cuyos resultados indican claramente que las memorias USB son mucho más confiables que los teléfonos inteligentes u otros sistemas que pueden usarse para la autenticación de dos factores.
Los expertos en seguridad de la información también recomiendan que no use la autenticación de dos factores con el envío de SMS como uno de los componentes de protección.