Apenas la semana pasada un investigador de seguridad se encontró a si mismo como víctima de una estafa muy inteligente, diseñado para revelar información que permitiría al ciberdelincuentes hacerse con su cuenta de PayPal. La metodología empleada por los ciberdelincientes se basa en la necesidad de asistencia por parte de la víctima y la forma en la que buscó esa ayuda, a través de una red social (Twitter). Esta metodología sería igualmente eficaz para cualquier número de servicios que utilizan la autenticación de dos pasos.

¿Por qué una persona va a Twitter a buscar ayuda? Bueno, porque muchas empresas monitorean y animan a sus clientes y potenciales clientes a participar con ellos en el foro público de la red social, y mostrar así su espíritu centrado en el cliente -PayPal es una de esas empresas- ver captura de pantalla del Tweet del 04 de septiembre de 2015 de PayPal alentando a las personas a que recuperen su contraseña.

Así el usuario está pre-condicionado a tener su solicitud de ayuda, en la forma en que una empresa ha manifestado su voluntad de ayudar, contestada y actuar en consecuencia. En este caso, el criminal cibernético se hace con su víctima antes que PayPal. La metodología empleada por el cibercriminal no era compleja y efectiva debido a su simplicidad.

La Estafa

De acuerdo con el investigador de seguridad (el crimen tuvo tres pasos) en el que los criminales cibernéticos (“apoyo PayPal”) manipularon el código de autenticación de dos pasos fuera de las manos de la víctima y pasó a las manos del criminal:

  1. El criminal que se hacía pasar por un representante de “PayPal” pidió el correo electrónico asociado a su cuenta.
  2. El criminal o “representante de PayPal” verificó la cuenta mandando un correo al móvil del usuario. El mensaje vino desde el mismo número del que había recibido mensajes de PayPal previamente. (El criminal acababa de de entrar en el correo electrónico del usuario en forma de contraseña olvidada (ver más abajo para un ejemplo de la forma utilizada por PayPal))
  3. El usuario confirma el código de nuevo al criminal pensando que estaba hablando con el equipo de atención al cliente de PayPal (proporcionando así al criminal el código de autenticación recibido en el teléfono móvil del usuario, derrotando totalmente el propósito del proceso de autenticación de dos pasos).

Los criminales cibernéticos hicieron exactamente como era de esperar, restablece la cuenta de la víctima y después comenzaron a hacer las compras. La víctima se dio cuenta de este era el caso, y se puso en contacto con el equipo de atención directamente (a través del teléfono: 800 358 7911 -su horario es 08:00-22:00 L-V, desde 08:00 hasta 21:00 los sábados y de 09:00 hasta 21:00 los domingos) y PayPal hizo lo que debía.

¿Qué debería hacer?

  1. No comparta información a través de los dos pasos de autenticación excepto de la forma establecida.
  2. Al usar los contactos de redes sociales públicas para iniciar una petición de servicio, entienda que cualquiera de los 4 mil millones de usuarios de internet pueden ver esa petición pública y algunos de esos individuos puedan ponerse en contacto con usted para estafarle la cuenta.
  3. Si cree que ha sido manipulado por un cibercriminal, contacte el servicio proporcionado directamente y permítanle asistirle -no tenga vergüenza de haber sido estafado (nos sucede a todos nosotros en un momento u otro).
  4. Permanezcan atentos, tómense su tiempo y verifiquen a todos los que intenten ponerse en contacto con ustedes a través de las redes sociales.

Comunicado de PayPal (Traducción por Senior Online Safety )

En PayPal, ofrecemos el 100% de protección por el uso sin autorización de las cuentas de PayPal. Estamos atentos en nuestro esfuerzo por denunciar falsos usos de PayPal o páginas de Facebook y trabajar con Twitter y Facebook para que los quiten, si es posible. Animamos a nuestros usuarios que busquen el símbolo de “verificación” de Twitter que les indica que la página es de fiar. También les recordamos a nuestros usuarios que nunca den su contraseña u otra información a través de Twitter o Facebook. PayPal sólo le pedirá la contraseña o código de verificación cuando usted quiera entrar en su cuenta.

Red Folder - PayPal Statement

Síganos en nuestras redes sociales y reciba todas nuestras actualizaciones

Senior Online Safety - FacebookSenior Online Safety - G-plusSenior Online Safety - TwitterSenior Online Safety - You Tube

Comments

comments