Symantec ha emitido una advertencia sobre lo que parece ser una estafa exitosa que se está perpetrando contra los usuarios de servicios de correo web como Gmail, Outlook y Yahoo.
Hackear un Correo Solo con el Numero de Teléfono de la Victima
En el siguiente ejemplo imaginaremos que un atacante está intentando piratear una cuenta de Gmail perteneciente a una víctima llamada Maria.
Maria registra su número de teléfono móvil en Gmail para que, si alguna vez olvida su contraseña, Google le envíe un mensaje de texto SMS con un código de verificación de rescate para que pueda acceder a su cuenta.
Un tipo malo -llamémosle Carlos- está ansioso por entrar en la cuenta de Maria, pero no sabe su contraseña. Sin embargo, sabe la dirección de correo electrónico y el número de teléfono de Maria.
Por lo tanto, visita la página de acceso de Gmail e introduce la dirección de correo electrónico de Maria. Pero Carlos no puede introducir correctamente la contraseña de Maria, por supuesto (porque no la conoce).
En su lugar, hace clic en el enlace “Necesita ayuda”, normalmente utilizado por usuarios legítimos que han olvidado sus contraseñas.
En lugar de elegir una de las otras opciones, Carlos selecciona “Obtener un código de verificación en mi teléfono”: [número de teléfono móvil]” para enviar un mensaje SMS con un código de seguridad de seis dígitos al teléfono móvil de Maria.
Aquí es donde las cosas se ponen furtivas.
Porque en este punto, Carlos le envía a Maria un texto fingiendo ser Google, y diciendo algo como:
“Google ha detectado una actividad inusual en su cuenta. Por favor, responda con el código enviado a su dispositivo móvil para detener la actividad no autorizada”.
Maria, creyendo que el mensaje es legítimo, responde con el código de verificación que acaba de ser enviado por Google.
Carlos puede usar el código para establecer una contraseña temporal y obtener control sobre la cuenta de correo electrónico de Maria.
Si Carlos estaba interesado en no levantar sospechas y seguir viendo todos los correos electrónicos que Maria recibe en un futuro previsible, entonces puede ser que él reconfigure su correo electrónico para reenviar automáticamente los mensajes futuros a una cuenta bajo su control, y luego enviarle un SMS con la nueva contraseña restablecida:
“Gracias por verificar su cuenta de Google. Su contraseña temporal es: [CONTRASEÑA TEMPORAL]””
Incluso si Maria cambia su contraseña en una fecha posterior, Carlos continuará recibiendo su correspondencia privada por correo electrónico a menos que revise cuidadosamente la configuración de su cuenta.
En resumen, es una pieza desagradable de ingeniería social que es fácil de imaginar que està trabajando en contra de mucha gente.
Entonces, ¿cuál es la solución?
Bueno, el consejo más simple es sospechar de los mensajes SMS que le piden que devuelva un código de verificación, en particular si no solicitó un código de verificación en primer lugar.
Sin embargo, me pregunto cuántas personas cuando se enfrentan a un mensaje que creen que proviene de Google o Yahoo actuarían de inmediato, sin pensar en las consecuencias. Después de todo, una de las mayores preocupaciones que muchas personas pueden tener en estos días y en esta época es no tener acceso a su cuenta de correo electrónico.
