Soy reportero de seguridad y me engañó un phishing descarado
Soy reportero de seguridad y me engañó un phishing descarado
Agrandar / Definitivamente no es un mouse Razer, pero entiendes la idea.
Calvio vía Getty Images
Recientemente ha habido una ola de ataques de phishing tan quirúrgicamente precisos y bien ejecutados que han logrado engañar a algunas de las personas más informadas que trabajan en la industria de la ciberseguridad. El lunes, martes y miércoles, el proveedor de autenticación de dos factores Twilio, la red de entrega de contenido Cloudflare y el fabricante de equipos de red Cisco dijeron que los phishers en posesión de números de teléfono pertenecientes a empleados y miembros de la familia de los empleados habían engañado a sus empleados para que revelaran sus credenciales. Los phishers obtuvieron acceso a los sistemas internos de Twilio y Cisco. Las claves de hardware 2FA de Cloudflare impidieron que los phishers obtuvieran acceso a sus sistemas.
Los phishers eran persistentes, metódicos y claramente habían hecho su tarea. En un minuto, al menos 76 empleados de Cloudflare recibieron mensajes de texto usando varios trucos para engañarlos para que iniciaran sesión en lo que creían que era su cuenta de trabajo. El sitio web de phishing usó un dominio (cloudflare-okta.com) que se había registrado 40 minutos antes de la afluencia de mensajes, lo que impidió que un sistema usado por Cloudflare para recibir alertas cuando se crearan dominios que usaban su nombre (probablemente porque "lleva tiempo para nuevos entradas para completar). Los phishers también tenían formas de derrotar las formas de 2FA que se basan en contraseñas de un solo uso generadas por aplicaciones de autenticación o enviadas por SMS.
Crear un sentido de urgencia
Al igual que Cloudflare, Twilio y Cisco recibieron mensajes de texto o llamadas telefónicas que también se enviaron bajo el supuesto de que se trataba de circunstancias urgentes: un cambio de horario repentino, el vencimiento de la contraseña, pase o llamada bajo la apariencia de una organización confiable. — requerir que el objetivo actúe rápidamente.
El miércoles fue mi turno. A las 3:54 p. m. (hora del Pacífico), recibí un correo electrónico que decía ser de Twitter y me decía que acababan de verificar mi cuenta de Twitter. Inmediatamente sospeché porque no había solicitado la verificación y realmente no quería hacerlo. Pero los encabezados mostraban que el correo electrónico provenía de twitter.com, el enlace (que abrí en Tor en una máquina segura) conducía al sitio real Twitter.com, y nada en el correo electrónico o en la página vinculada solo me pedía que proporcionara información. . También noté que de repente apareció una marca de verificación en mi página de perfil.
Satisfecho de que el correo electrónico fuera genuino, noté mi sorpresa en Twitter a las 3:55 a. m.
¿Qué es? Twitter acaba de verificar mi cuenta, aunque todavía me negué a darles mi nombre de usuario o cualquier otra información. Me pregunto por qué.
— Dan Goodin (@dangoodin001) 10 de agosto de 2022
Segundos después, a las 3:56 a. m., recibí un mensaje directo que decía ser del servicio de verificación de Twitter. Indicó que para que mi verificación fuera permanente, tenía que responder al mensaje con mi licencia de conducir, pasaporte u otra identificación emitida por el gobierno.
Tengo sentimientos muy fuertes sobre la inadecuación de Twitter, una empresa que ha sido pirateada al menos tres veces y admitió haber hecho un uso indebido de los números de teléfono de los usuarios, para solicitar este tipo de datos. Estaba loco. Fue hacia el final de mi jornada laboral. Todavía me sorprendió el regalo inesperado y no manipulado de Twitter de una marca de verificación que no había pedido. Entonces, sin leer el mensaje directo detenidamente, twitteé una captura de pantalla, con un comentario cínico sobre que Twitter no es confiable.
Hablé demasiado pronto. Lo siento, @twitter, no eres de fiar. Continúe y elimine la marca azul. No obtienes mi identificación solo para que te vuelvan a piratear o para usarla con fines comerciales. pic.twitter.com/dimLCLagdU
— Dan Goodin (@dangoodin001) 10 de agosto de 2022
La cosa es que el DM usó un inglés entrecortado; el apodo del usuario se llamaba Soporte, seguido de un montón de números; la cuenta fue bloqueada. El DM es un ejemplo clásico de phishing, con todas las características de una estafa. Entonces porque mi...
Agrandar / Definitivamente no es un mouse Razer, pero entiendes la idea.
Calvio vía Getty Images
Recientemente ha habido una ola de ataques de phishing tan quirúrgicamente precisos y bien ejecutados que han logrado engañar a algunas de las personas más informadas que trabajan en la industria de la ciberseguridad. El lunes, martes y miércoles, el proveedor de autenticación de dos factores Twilio, la red de entrega de contenido Cloudflare y el fabricante de equipos de red Cisco dijeron que los phishers en posesión de números de teléfono pertenecientes a empleados y miembros de la familia de los empleados habían engañado a sus empleados para que revelaran sus credenciales. Los phishers obtuvieron acceso a los sistemas internos de Twilio y Cisco. Las claves de hardware 2FA de Cloudflare impidieron que los phishers obtuvieran acceso a sus sistemas.
Los phishers eran persistentes, metódicos y claramente habían hecho su tarea. En un minuto, al menos 76 empleados de Cloudflare recibieron mensajes de texto usando varios trucos para engañarlos para que iniciaran sesión en lo que creían que era su cuenta de trabajo. El sitio web de phishing usó un dominio (cloudflare-okta.com) que se había registrado 40 minutos antes de la afluencia de mensajes, lo que impidió que un sistema usado por Cloudflare para recibir alertas cuando se crearan dominios que usaban su nombre (probablemente porque "lleva tiempo para nuevos entradas para completar). Los phishers también tenían formas de derrotar las formas de 2FA que se basan en contraseñas de un solo uso generadas por aplicaciones de autenticación o enviadas por SMS.
Crear un sentido de urgencia
Al igual que Cloudflare, Twilio y Cisco recibieron mensajes de texto o llamadas telefónicas que también se enviaron bajo el supuesto de que se trataba de circunstancias urgentes: un cambio de horario repentino, el vencimiento de la contraseña, pase o llamada bajo la apariencia de una organización confiable. — requerir que el objetivo actúe rápidamente.
El miércoles fue mi turno. A las 3:54 p. m. (hora del Pacífico), recibí un correo electrónico que decía ser de Twitter y me decía que acababan de verificar mi cuenta de Twitter. Inmediatamente sospeché porque no había solicitado la verificación y realmente no quería hacerlo. Pero los encabezados mostraban que el correo electrónico provenía de twitter.com, el enlace (que abrí en Tor en una máquina segura) conducía al sitio real Twitter.com, y nada en el correo electrónico o en la página vinculada solo me pedía que proporcionara información. . También noté que de repente apareció una marca de verificación en mi página de perfil.
Satisfecho de que el correo electrónico fuera genuino, noté mi sorpresa en Twitter a las 3:55 a. m.
¿Qué es? Twitter acaba de verificar mi cuenta, aunque todavía me negué a darles mi nombre de usuario o cualquier otra información. Me pregunto por qué.
— Dan Goodin (@dangoodin001) 10 de agosto de 2022
Segundos después, a las 3:56 a. m., recibí un mensaje directo que decía ser del servicio de verificación de Twitter. Indicó que para que mi verificación fuera permanente, tenía que responder al mensaje con mi licencia de conducir, pasaporte u otra identificación emitida por el gobierno.
Tengo sentimientos muy fuertes sobre la inadecuación de Twitter, una empresa que ha sido pirateada al menos tres veces y admitió haber hecho un uso indebido de los números de teléfono de los usuarios, para solicitar este tipo de datos. Estaba loco. Fue hacia el final de mi jornada laboral. Todavía me sorprendió el regalo inesperado y no manipulado de Twitter de una marca de verificación que no había pedido. Entonces, sin leer el mensaje directo detenidamente, twitteé una captura de pantalla, con un comentario cínico sobre que Twitter no es confiable.
Hablé demasiado pronto. Lo siento, @twitter, no eres de fiar. Continúe y elimine la marca azul. No obtienes mi identificación solo para que te vuelvan a piratear o para usarla con fines comerciales. pic.twitter.com/dimLCLagdU
— Dan Goodin (@dangoodin001) 10 de agosto de 2022
La cosa es que el DM usó un inglés entrecortado; el apodo del usuario se llamaba Soporte, seguido de un montón de números; la cuenta fue bloqueada. El DM es un ejemplo clásico de phishing, con todas las características de una estafa. Entonces porque mi...
Agrandar / Definitivamente no es un mouse Razer, pero entiendes la idea.
Calvio vía Getty Images
