Sim swapping – lo oímos menos últimamente, pero sigue existiendo

[DdmrDdmr]

Hacía tiempo que no leía acerca de casos de sim swapping que llevasen al robo de criptomonedas. La práctica sigue produciéndose no obstante, como nos recuerda el caso reflejado en el enlace a pie de post.

Según cita el artículo, un ciudadano de Brasil fue despojado de un equivalente a 34K $ en BTC de su cuenta en Binance. En diciembre del año pasado, el afectado vio cómo su número de teléfono dejó de funcionar. El servicio de atención al cliente lo resolvió dándole un nuevo número de teléfono, algo que ya de por sí se antoja una solución inadecuada, pero bueno.

Poco más tarde, el afectado se dio cuenta de que su cuenta en Binance había sido vaciada, habiendo el hacker accedido a la misma al poder cambiar la contraseña de la cuenta y tomar control de la misma. Esto, gracias a tener la tarjeta telefónica del afectado clonada (sim swapping), método que usó para poder cambiar la contraseña mediante el proceso de recuperación de contraseña (el cual se apoya en el número móvil asociado a la cuenta).

El afectado ha demandado a la empresa telefónica (Claro) por haber permitido que alguien pudiese hacerse con un duplicado de su sim sin validar la identidad correctamente. El caso sigue abierto judicialmente, pero lo importante es ser consciente de que esto pude llegar a suceder …

Ver: https://www.criptonoticias.com/comunidad/hombre-demanda-claro-luego-perder-bitcoins-binance/

[1713572314]

1713572314

[1713572314]

1713572314

[1713572314]

1713572314

[danadc]

Me pregunto ¿Cómo pudo el Hacker hacer esos retiros, tenía la 2fa activada?

Para hacer retiros en Binance imagino que no tenía entonces la 2FA activada,el artículo dice que a través del teléfono y sms pudo hacer todo,pero eso es una vulnerabilidad considero,si tenemos todo en regla,el brasileño tuvo que tener activado esa seguridad.

Lo que me deja con toda la duda es que Binance al detectar que se hacen operaciones con otros dispositivos debería pedir otro tipo de seguridad,en mi caso cuando lo uso me piden que les dé permiso mediante un correo electrónico,esto me hace pensar mal,que hasta mismos trabajadores de Binance pueden estar en complicidad con esto.

[DdmrDdmr]

Cuando en Binance inicias el proceso asociado a "¿olvidaste la contraseña?", te informa de que no podrás retirar, hacer ventas p2p, ni acceder a los servicios de pago durante 24 horas. Esto, me imagino, está para mitigar los casos de acceso a la cuenta por parte de personas ajenas, dando un margen para poder actuar/avisar (si es que uno se entera).
La contraseña la puedes intentar recuperar bien mediante la cuenta de correo, bien mediante el móvil. En el caso del, el Binance le remite un código de verificación de 6 dígitos que hemos de introducir.

Según indica el enlace abajo referenciado:

•   Si has utilizado una dirección de correo electrónico para registrar tu cuenta y has activado la autenticación 2FA por SMS, puedes restablecer tu contraseña a través de tu número de teléfono móvil.

•   Si has utilizado un número de teléfono móvil para registrar tu cuenta y has activado la autenticación 2FA por correo electrónico, puedes restablecer la contraseña a través de este.

Los métodos 2FA de Binance parecen ser: Llave de Seguridad, Autentificador de Binance, Autentificador de Google, móvil (SMS), y correo electrónico.

No sé cómo irá el proceso de recuperación de contraseña si tienes 2FA Google, pero si el usuario hubiese tenido 2FA por teléfono, con un SMS a la sim duplicada basta para hacerse con la cuenta.

Ver:
https://www.binance.com/es/support/faq/2d9adebbe9b446019f8895ce971d0870
https://academy.binance.com/es/articles/binance-2fa-guide

[darxiaomi]

Si me preguntas a mi, normalmente al igual que en los casos con los bancos la gente siempre miente a la hora de narrar lo que paso. Siempre dicen "no, no le di ningun dato, no se como paso etc" pero cuando te pones a ver en detalle si resulta que le paso muchisimos datos al malechor.

Las compañias telefonicas algunas son un total desastre con ese tema, por ejemplo aca en Argentina es muy facil dar de baja un numero de celular, solo conociendo el nombre o donde vive, tema por lo cual algunas compañias ahora entregan una especie de pin de seguridad el cual uno tiene que decir para ese tipo de operaciones (dar de baja, portabilidad numerica etc).

[DdmrDdmr]

Quizás una reflexión a realizar es que este riesgo se mitiga o elimina con la autocustodia de nuestros activos. Aunque el sim-swapping puede afectar a otras áreas de relevancia (cuentas bancarias, cuentas de correo, cuentas en tiendas, etc.) además de a las cuentas que podamos tener en Exchanges o entidades afines, los casos de uso se dan esencialmente cuando alguien que no somos nosotros mismos es el custodio.

Tener 34K $ en un Exchange no es necesario, salvo que te dediques al trading todo el día y precises tener liquidez para la operativa a muy corto plazo. Tenerlo como si fuese un banco no es lo suyo, y por uno céntimos te lo llevas a tu wallet de autocustodia sin problemas. Eso sí, sin olvidarnos de que muchos no van a saber ni querer saber nada de la autocustodia al ser algo más complicado que la custodia en una plataforma tercera.

[wildavocado]

Es mejor seguridad tener 2FA con un Auntenticador en el telefono en vez de configurar un SMS, que puede ser clonado.

Ojo que generalmente la gente usa el Autenticador de Google, pero se puede usar cualquier otro, como AndOTP que es open source, y que te permite exportar los codigos para cuando cambias de telefono. Lo pueden encontrar aca: https://github.com/andOTP/andOTP o en fdroid.

[DdmrDdmr]

Estaba mirando si, en el caso de Binance, aunque tuviésemos 2FA a través de una aplicación de autentificación, pudiésemos llegar a desactivarlo accediendo a través de las opciones de cambio de contraseña. Según he visto, parece que no, dado que si tienes 2FA con código de autentificación mediante app, éste es preciso para poder finalizar el cambio de contraseña.

Habría que ver no obstante que el reseteo de la contraseña pida el 2FA sí está habilitado en aquellas sites relevantes, a fin de ver su vulnerabilidad a un procesos de sim-swapping.

[famososMuertos]

Hay Sms, Código por email y 2Fa con App, son tres pin, entonces, pueden que te clonen la sim pero como hacen con la App (Pin) que se genera.

De hecho deberían agregarse las direcciones a la lista blanca, donde se repite el proceso anterior, y de hecho a pesar de tener una lista blanca puedes optar por solicitar que se ejecute nuevamente las tres comprobaciones anteriores incluso si están en la lista blanca.

Por cierto tienen también un código antiphishing, una clave de 4 dígitos que aparece en cada email que te envían para corroborar como adicional que el email que recibes es de Binance.

Hay que señalar que el 2fa puede ser por email, por sms y/o por APP, visto lo anterior como dice Darxiomi es lamentable que de seguro en la demanda esto salga a relucir y es obvio que hay negligencia interna, pero eso es increíble que algunas personas los llaman de servicios por ejemplo la empresa de Tv por satélite y les piden confirmar datos y chilin, chilin, queremos corroborar su DNI, teléfono, fecha de nacimiento, etc...

Esta noticia tristemente es la mejor publicidad que nos recuerda siempre que estamos expuestos, por mucha experiencia que se tenga, cuanto uno màs cree saber, entonces resulta en la frase colegial; "confianza mato al pescado" se viene a la mente esa por el termino anglo "fish" que literalmente no significa pescado pero pareciera.

[DdmrDdmr]

No siendo de la misma problemática, pero con cierta relación tangencial, otro aspecto a cuidar es el spoofing de números de teléfono, mediante el cual, un maleante puede enviarnos SMS maliciosos o hacernos llamadas, impersonando los teléfonos oficiales de empresas, dotando así de mayor credibilidad al mensaje recibido.

Por ejemplificar, en UK has detenido a más de 100 delincuentes que habrían intentado estafar a más de 200.000 víctimas con todo tipo de timos, utilizando el spoofing telefónico como base, aunque el pool potencial de delincuentes que usaron este servicio se estima en 59.000. Curiosamente, han seguido el rastro de pagos por el servicio con bitcoin para llegar a dar con algunos de ellos, aunque no detalla exactamente cómo ni la cantidad de casos.

Ver:
https://www.diariobitcoin.com/paises/europa/reino-unido-europa/100-arrestados-miles-de-victimas-y-bitcoin-en-mayor-fraude-de-reino-unido/

[Porfirii]

Se me antojan ejemplos de fraude muy elaborados, para lo que estamos acostumbrados en el día a día. Por otro lado, el primer caso habla de Brasil, el segundo de Reino Unido. Está bien saber que siguen sucediendo, y puede que cada vez más, para tener las alertas correspondientes siempre activas. Pero no me parece que sean prácticas tan comunes como para tenerles miedo. De momento. Al menos en el caso del Sim swapping, el segundo método sí que parece más fácil de realizar y, peor aún, frecuente.

[darxiaomi]

Ya que estamos con este hilo.

Les parece que la adopcion masiva del e-sim supondra mas seguridad que la sim tradicional en este tipo de estafas?. O contrario a esto tambien sera mas dificil una vez estafados demostrar nuestra inocencia?.

Lo que voy leyendo es todo ventajas de la e-sim supuestamente en todos los apartados y mucho ams en el apartado seguridad, pero bueno siempre hay algo que no nos cuentan.

[DdmrDdmr]

En principio, al no haber un SIM físico al pasarse al eSIM, la teoría dice que se reduce el vector de ataque de pedir un duplicado en la tienda (con compinche o incompetente de por medio), pero la eSIM tiene su componente software, y el software siempre acaba encontrando puntos de vulnerabilidad eventualmente.

Supongo que, en todo caso, es el propio proceso de cambio de terminal de las compañías, y preservación del número de eSIM, lo que nos dará una pista. Por ejemplo, leyendo el siguiente procedimiento, da la sensación de que con algo de ingeniería social (acceso al email, a cuenta Virgin) se puede lograr:
https://www.virginmobile.ae/help/what-should-i-do-if-i-lose-my-esim-registered-device/

He visto que ya hay casos de eSIM swapping, así que tampoco hay que bajar la guardia:
https://edtimes.in/all-you-need-to-know-about-e-sim-card-swapping-scam/

Vamos, que no parece que no vaya a proteger en demasía las cuentas en Exchanges, carteras custodiales, bancos y demás, y hay que tener las precauciones activadas.

[Hispo]

Me gustaría aprovechar este hilo para compartirles una noticia ciertamente preocupante que encontré hoy y parece ser verídica. tiene que ver con el tema del Simswap, por cierto.


WhatsApp sufre una brecha de seguridad: más de 500 millones de cuentas filtradas

Fuente: https://www.xatakamovil.com/seguridad/whatsapp-sufre-brecha-seguridad-500-millones-cuentas-filtradas

La seguridad de WhatsApp siempre se encuentra en entredicho, la aplicación de mensajería más famosa sufre vulnerabilidades de todo tipo. La última noticia vuelve a poner a WhatsApp en la palestra, que ha sufrido un ataque mayúsculo.

Según Cybernews, el día 16 de noviembre, un usuario publicó que tenía en su poder la friolera cantidad de 487 millones de números de teléfono de usuarios de la app de mensajería de Meta. Concretamente, usuarios de 84 países del mundo y sus datos han sido expuestos.

Considerando que en el mundo hispano Whatsapp es una aplicación que se usa ampliamente, el hecho de que esta cantidad de números de teléfono de usuarios activos se filtre significa que inevitablemente se darán casos de Simswap, lo cuales sospecho serán herramienta para cualquier tipo de estafa que se nos ocurra: Suplantación de identidad, retiro de fondos de bancos y exchanges, etc.

Si usan Whatsapp, por favor activen la opción de 2FA que la aplicación ofrece, por lo menos eso debería evitar que otra persona que no sean ustedes acceda a sus contactos y chats desde un dispositivo adicional. Y como siempre, utilizar tokens diferentes al SMS en exchanges y bancos.

[DdmrDdmr]

<...>

Parece que el artículo de xatakamovil se equivoca al decir que España no se encuentra en la lista de países. El origen de la información creo que parte de este artículo de cybernews, donde el desglose de los datos hackeados por país es el siguiente:

España figura con casi 11 M de registros, lo cual es un número muy significativo de la base de usuarios activos de la herramienta.

He intentado ver el detalle de la información obtenida, y parece que no va más allá del número de teléfono. Es decir, alguien que se haga con el fichero conoce una serie (enorme) de teléfonos, pero sin más contexto de que son usuarios de whatsapp y sin saber datos personales adicionales.

Si es así, la lista se puede usar para hacer acciones de phishing, acciones comerciales, dar algo por saco en Whatsapp, y demás, pero tampoco lo veo tan útil. Lo que es más útil es cuando el listado contiene datos personales y/o un contexto targetizado, como por ejemplo, cuando el listado procede del hackeo de un Exchange determinado. En este supuesto, los hackers tienen un contexto para hacer el phising más efectivo (usuario de un Exchange determinado, ligado a criptomonedas, con posible nombre de pila de la persona). En el caso de una lista de whatsapp, parece más bien una lista fría de teléfonos sin apenas contexto.

[Hispo]

<...>

...
Si es así, la lista se puede usar para hacer acciones de phishing, acciones comerciales, dar algo por saco en Whatsapp, y demás, pero tampoco lo veo tan útil. Lo que es más útil es cuando el listado contiene datos personales y/o un contexto targetizado, como por ejemplo, cuando el listado procede del hackeo de un Exchange determinado. En este supuesto, los hackers tienen un contexto para hacer el phising más efectivo (usuario de un Exchange determinado, ligado a criptomonedas, con posible nombre de pila de la persona). En el caso de una lista de whatsapp, parece más bien una lista fría de teléfonos sin apenas contexto.

Permiteme diferir acerca de la utilidad que puede tener esta información.
Creo que con el número de teléfono es más que suficiente para hacer mucho daño, un atacante puede llamar y hacerse pasar por un proveedor de servicios de la misma operadora y engañar para que la victima suelte todo tipo de datos relevantes. Con esos datos pueden proceder con el Simswap facilmente.

Lamentablemente, muchos no saben de este tipo de ataques aún, ni como funcionan, por lo que más de uno dará su información sin pensarlo mucho.

[DdmrDdmr]

<…>

No sé si me he expresado bien:

En el listado figuran 10M de teléfonos usuarios de whatsapp en España. Eso es casi una quinta parte de la población del país (y cuento tanto los recién nacidos y nonagenarios - tiro largo por tanto). Es decir, yo podría llamar al azar a 10 teléfono móviles inventados del país, y daría con 2 usuarios del aplicativo. Vale que con la lista es un poco más ágil, pero como digo, casi podría hacer lo mismo sin la lista, llamar diciendo que soy de la whatsapp (la cual creo que no llama de por sí) y pedir datos, que no creo que nadie me los dé al no tener mucho argumento.

Por contraste, si fuese un cliente del Exchange Gemini, y se filtrasen los teléfonos (y seguramente datos de identificación tipo nombre y apellidos como mínimo), el intento ya es muchísimo más targetizado: saben tu nombre, saben que eres usuario de un Exchange y que probablemente tengas fondos allí, lo cual, si hablamos de realizar un intento de sim swapping ya tiene por lo menos posibilidades de darme acceso a su cuenta en Gemini (si se hubiesen filtrado saldos mejor para hilar más fino).

Es decir, el listado más concreto de usuarios de un Exchange como el de Gemini da muchas más posibilidades de poder hacer phising o ingeniería social con un objetivo (criptomonedas) y con un argumento (tu cuenta en Gemini está o va a ser bloqueada, bla bla bla). El registro es de más valor, dado que voy a por un nicho más conciso de clientes de un Exchange. En el caso de los registros de whatsapp, me da que no tienen este valor ni de lejos.

[Hispo]

<…>

-snip-

Si, creo que tiene lógica la explicación. Creo que se me pasó por alto que aunque tengan los número aún necesitarían alguna forma de filtrar las victimas más viables para estafar.

Me pregunto si entonces, intentarán hacer una intersección con otras filtraciones como has sugerido.

[darxiaomi]

Vuelvo a retomar el hilo porque aca en Argentina hubo un "sim swaping" bastante importante llevado acabo por estos meses, fue hecho sobre el ministro de seguridad de la ciudad de Buenos Aires y por ams que el tema este muy ranquilo reviste un escandalo mayusuculo la informacion que se le saco.

Tambien creo que teniendo el cargo que ocupa no se puede manejar tan infantilmente por la vida y hasta llego a desconfiar de la "veracidad" de este simswapping. Para mi aca fue algo mas.

https://www.infobae.com/politica/2023/01/21/peritos-de-la-ciudad-de-buenos-aires-explicaron-como-hackearon-el-celular-del-ex-ministro-dalessandro/

[DdmrDdmr]

Claro que el sim swapping no sólo puede afectar al propio impactado, sino que puede tener ramificaciones si, a través del control del número móvil, se logra impersonar al afectado en las redes sociales.

Así ha sido el reciente caso sufrido por Vitalik Buterin, la última victima de un ejercicio de sim swapping, y cuya cuenta de Twitter fue impersonalizada para robar a sus seguidores un equivalente de 690K $ en cripto. Los hackers lograron postear un link a un site malicioso, desde el cual el usuario lector debería conectar su wallet para minar un NFT conmemorativo.

No he entrado en los detalles del timo en sí, pero la base del acceso a la cuenta de Twitter (aka X) fue la de tener activa la opción de recuperación de la cuenta desde un número de teléfono asociado. Como asoció el suyo, los hackers pudieron hacerse con la cuenta desde su sim clonada.

Ver:
https://decrypt.co/156000/vitalik-buterin-sim-swap-attack-behind-700000-twitter-hack

[famososMuertos]

Y la delicuencia cibernética es brutal, si uno tiene la "tarea" de hacer un post ellos la de meter la estafa en su data de "bola de nieve" alguien caerá.

Ahora bien, en casa de herrero cuchillos de palo. No sé justifica que alguien ligado al área sea vulnerable de esa manera.