La vanidad en Instagram lleva a gente "normal" a convertirse en timadores de BTC

[DdmrDdmr]

Lo que es capaz de hacer la gente por no perder su cuenta en Instagram …

El caso citado en el artículo abajo referenciado, versa sobre como usuarios de Instagram, tras caer en una trampa tipo phishing para robar sus claves de acceso a su cuenta de la red social, son forzados a grabar videos promocionando un scam de bitcoin (del estilo de invierte 1K $ y obtén 8,5K $ en poco tiempo), con la promesa de que así les devolverán la cuenta de Instagram.

Luego no se la devuelven, pero logran que el timo se propague a familiares, amigos, conocidos y clientes, de boca de alguien quien les es familiar, dando al timo algo más de credibilidad.

No es algo que creo sea voluminoso en casos, pero sí son intentos de ingeniería social distintos, y algunos son algo más complicados de lo aquí comentado, pero parece que el miedo a perder la cuenta social puede llevar a más de uno a convertirse en un proxy-scammer.


Ver: https://interestingengineering.com/bitcoin-scam-forces-victims-to-record-hostage-style-videos-on-instagram

[1713257866]

1713257866

[Hispo]

Qué macabro por parte de los scammers.

Asumo que el target de este tipo de ataque son personas que ganan dinero de forma considerable a través de esa red social, los llamados "influenciadores". Porque siendo yo, una persona que solo me conoce Dios, al caer en un tipo de extorsión como esta, me pondría en contacto con los moderadores de instagram, por lo menos. En especial, porque usar tu rostro para un scam en este país es literalmente poner la vida en riesgo, en caso de que le hagas perder dinero a un pez medianamente pesado o al hijo de uno.

Por cosas como estás creo que las llaves de seguridad y las hardware wallets deberían convertirse en un estandar en el futuro, que FIDO se apresure y que estos pobres "influenciadores" se enteren de que es una yubikey.

[DdmrDdmr]

Es cierto que Yubikey tiene la ventaja de que sólo te permite loguinearte contra la url donde te das de alta, por lo que minimizas las posibilidades de caer en un acto de phising en webs con 2FA activado. Como las Yubikeys no son clonables, lo recomendable es tener dos, y autorizar las dos llaves para el acceso 2FA (no sé si todos los sites permiten dar de alta dos elementos de acceso 2FA).

Ahora bien, tampoco esperaría que la práctica se extendiese en masa para mucha gente, dado que el producto es caro, y requiere algo más de conocimiento que simplemente generar un login/password. Supongo que la gente con más elementos a proteger es más propensa a usarlo (claves de Exchanges, bancos, etc.).

[famososMuertos]

Tenia bastante tiempo que no entraba a mi cuenta de Instagram pero dado que la IP no era convencional me alerto y la seguridad era enviar el ping al correo  què seguridad puede haber ahì(!?). Por otra parte como menciona Hispo es la vía correcta, las cuentas en Instagram se pueden recuperar luego de ser hackeadas.

De hecho los procesos de verificación de cuenta ahora son accesibles a la gran mayoría que cumpla con los requisitos, son muy simples la verdad, ese proceso "exquisito" de tener la palomita al lado de tu nick ya no es de solo las celebridades.

Y ese proceso en si mismo es un factor de seguridad que te puede ayudar a recuperar tu cuenta de manera màs rápida, eso si se quiere es un paso de seguridad asociado que deben tener todos aquellos que usan sus redes sociales con datos personales reales o los influencers que correspondan.

https://es-la.facebook.com/business/learn/lessons/verify-facebook-instagram-account

[Hispo]

Es cierto que Yubikey tiene la ventaja de que sólo te permite loguinearte contra la url donde te das de alta, por lo que minimizas las posibilidades de caer en un acto de phising en webs con 2FA activado. Como las Yubikeys no son clonables, lo recomendable es tener dos, y autorizar las dos llaves para el acceso 2FA (no sé si todos los sites permiten dar de alta dos elementos de acceso 2FA).

Ahora bien, tampoco esperaría que la práctica se extendiese en masa para mucha gente, dado que el producto es caro, y requiere algo más de conocimiento que simplemente generar un login/password. Supongo que la gente con más elementos a proteger es más propensa a usarlo (claves de Exchanges, bancos, etc.).

Estoy consciente de que la recuparación en caso de perdida de Yubikeys puede ser una molestia y por eso se recomienda lo que dices (hacer el setup de almenos dos). Debido a esto me ha dado la curiosidad de buscar (de forma infructuosa) que sucede si se una wallet fisica como llave de autentificación, se hace un reinicio y recuperación con la seed y se vuelve a usar. Me gustaría saber como afecta el contador.

Ahora bien, el precio de llaves como estas está justificado en especial si se trata de cuentas bancarias, exchanges o cuentas de redes sociales que literalmente te dan de comer. Pero mi forma de pensar es: si me compre una llave fisica para mi cuenta de banco ¿por que no usarla en todo lo que tenga?. Claro, eso puede hacer que la recuperación sea un dolor de cabeza, pero en mi caso, considero que es más facil cuidar de un objeto físico que las credenciales de una docena de sitios, solo cosas mias.

Quizá, 40$ por una llave de seguridad básica si sea algo caro para algunos (creo que antes podían conseguirse a 20$, muestra de su posible gran demanda), pero tengo la confianza que dentro de unos años esta clase de autentificación asimétrica se volverá un estandar, porque tiene el potencial sacar de dudas sobre la identidad digital de los internautas y cada vez es más intuitivo, imo.

[Csmiami]

-----

No habia llegado a oir hablar sobre este tipo de dispositivos; pero por lo que entiendo te genera una contraseña nueva a cada uso sobre cualquier servicio que se haya vinculado?

De no ser asi, no veo si habría mucha diferencia con utilizar una hardware wallet como gestor de contraseñas (similar a los nativos de chrome y firefox). Entiendo que me estoy metiendo en terreno resbaladizo, pero apra eso estamos aqui...

[Hispo]

-----

No habia llegado a oir hablar sobre este tipo de dispositivos; pero por lo que entiendo te genera una contraseña nueva a cada uso sobre cualquier servicio que se haya vinculado?

De no ser asi, no veo si habría mucha diferencia con utilizar una hardware wallet como gestor de contraseñas (similar a los nativos de chrome y firefox). Entiendo que me estoy metiendo en terreno resbaladizo, pero apra eso estamos aqui...

Tengo entendido que básicamente se trata de utilizar un dispositivo hardware para generar dos pares de llaves asimétricas: privada y pública.
El servicio se queda con la pública y tu mantienes la privada dentro del dispositivo.

A la hora de ingresar en la cuenta, luego de introducir la contraseña el servicio te indica que conectes el dispositivo autentificación y presiones un botón físico en el dispositivo para indicar que autorizas el login. Lo que ocurre detrás del escenario es simple: el servicio envía un mensaje el cual ha de ser firmado con la llave privada, cuando presionas el boton, estás firmando y retornando la señal. Luego ellos utilizan el mensaje firmado y la llave pública para verificar que el mismo dispositivo que firmo es el mismo usado para el set-up.

Puedes ver un artículo que hizo Trezor de como usar sus productos con este fín, aquí.

La principal ventaja de este método sobre las típicas apps como Google o Authy es que la llave privada no toca el internet y la criptografía es asimétrica. Mientras que en la apps de autentificación habituales el QR es compartido a traves del internet hacia a tí y ambos (tu y el servicio) tienen la llave privada, lo cual puede dar posibilidad de ataques a distancia.

También te dejo un video de una conferencia sobre cyber-seguridad en la cual se explica bastante bien, aunque el video es un poco largo.

[Csmiami]

---

Vale, por alguna razon desconocida habia entendido en origen que el servicio gestionaba una contraseña y no un extra como es el 2FA... Que poco bien me da por leer algunas veces cuando se añaden posts nuevos y medio-leo el quoteado... Gracias por la explicación!

Y bastante interesante lo del Trezor, pero me parece un poco... contraproducente tener en el mismo dispositivo la contraseña Y el 2FA; pero es algo a lo que desde luego darle una vueltita

[Hispo]

---

Y bastante interesante lo del Trezor, pero me parece un poco... contraproducente tener en el mismo dispositivo la contraseña Y el 2FA; pero es algo a lo que desde luego darle una vueltita

En el caso de Trezor, se puede utilizar el dispositivo junto con un administrador de contraseñas o U2F, son cosas separadas.
Yo solo me quedo con el U2F y mis contraseñas por ahora las memorizo como en la vieja escuela.

Tengo entendido que también se pueden usar los productos de Ledger como U2F.

Creo que el mejor de los casos serìa tener un dispositivo para el holding y otro para las cuentas. No creo que los dispositivos compartan las llaves públicas de Bitcoin porque en el caso de Trezor, si se usa un firmware only-Bitcoin, no se puede utilizar para U2F.

Pero nunca está de más estar precavido o verificar el código, que para eso es abierto,

[DdmrDdmr]

<…> Tengo entendido que también se pueden usar los productos de Ledger como U2F.<…>

Así es. Ledger tiene una app para realizar la función en el dispositivo. Con este método, tampoco se puede tener clonadas las claves U2F entre dos dispositivos Ledger, de manera que uno ejerza de copia de seguridad del otro. Habría que dar de alta en todo caso ambos accesos (uno desde cada Ledger) en cada site.

Había leído casos donde explicaban que las actualizaciones del firmware les fastidiaban el U2F en Ledger, e incluso al desinstalar la app:
https://www.reddit.com/r/ledgerwallet/comments/dydz11/can_ledgernanos_fidou2f_be_safely_used_without/

Aunque comentarios posteriores parecen apuntar a que este problema se subsanó entorno a principios del 2020.
https://bitcointalk.org/index.php?topic=5096882.0

Si alguien va a utilizarlos en Ledger (o Trezor), habría que asegurarse bien de que:
-   El contador U2F no se resetea al desinstalar e instalar la app.
-   Una actualización del firmare no va a reiniciar el contador.
-   Y tener en cuenta que no se puede clonar, precisamente por lo del contador.

[Hispo]

<…> Tengo entendido que también se pueden usar los productos de Ledger como U2F.<…>

Así es. Ledger tiene una app para realizar la función en el dispositivo. Con este método, tampoco se puede tener clonadas las claves U2F entre dos dispositivos Ledger, de manera que uno ejerza de copia de seguridad del otro. Habría que dar de alta en todo caso ambos accesos (uno desde cada Ledger) en cada site.

Había leído casos donde explicaban que las actualizaciones del firmware les fastidiaban el U2F en Ledger, e incluso al desinstalar la app:
https://www.reddit.com/r/ledgerwallet/comments/dydz11/can_ledgernanos_fidou2f_be_safely_used_without/

Aunque comentarios posteriores parecen apuntar a que este problema se subsanó entorno a principios del 2020.
https://bitcointalk.org/index.php?topic=5096882.0

Si alguien va a utilizarlos en Ledger (o Trezor), habría que asegurarse bien de que:
-   El contador U2F no se resetea al desinstalar e instalar la app.
-   Una actualización del firmare no va a reiniciar el contador.
-   Y tener en cuenta que no se puede clonar, precisamente por lo del contador.

Nose como lo habrán conseguido pero al parecer en el caso de Trezor el contador se restaura automaticamente con la recuperación.
¿quizá he entendido mal y en realidad se refieren a que se reinicia?



 Ver: https://wiki.trezor.io/U2F

También es de destacar que Ledger en términos generales cuida más sus interfaces y programas que Trezor. Estos últimos se han dado cuenta y recién desde el año pasado es que han comenzado a renovar su billetera.

[DdmrDdmr]

<...> Nose como lo habrán conseguido pero al parecer en el caso de Trezor el contador se restaura automaticamente con la recuperación.
¿quizá he entendido mal y en realidad se refieren a que se reinicia? <...>

Sería interesante conocer cómo lo hacen técnicamente, para comprender el proceso y no atribuirlo a la “magia” (como hago yo en estos momentos). No he logrado localizarlo detallado.

He estado leyendo en Reddit (con la búsqueda Trezor restore u2f site:www.reddit.com), y parece que sí, que se restablecen los accesos 2FA que tenías, y que el contador no da problemas, dado que lo cambiaron en su momento a ser el valor del Unix Timestamp (tienen que ser valores incrementales, pero no necesariamente correlativos).

Me he fijado sobre todo en los comentarios de "SatoshiLabs CEO". Como siempre, he visto algunas contradicciones en algunos aspectos entre distintos comentarios. Concretamente, mientras el perfil "SatoshiLabs CEO" afirma que no se pueden usar dos dispositivos a la vez y que luego se recuperen todas las claves U2F, he visto algún usuario que dice que sí. Luego el "SatoshiLabs CEO" dice que se puede recuperar sobre otro modelo de Trezor, y un usuario ponía que no. Puede que dependa de las fechas, dado que los cambio pueden haber invalidado comentarios.