Sim swapping – lo oímos menos últimamente, pero sigue existiendo

[darbitmobilerecovery]

Golpazo, y eso que estamos hablando de un hackeo de  muy vieja escuela. Como dijo famosos en casa de herrero cuchillo de palo....

Espero que mas adelante no nos enteremos que fue una maniobra del propio Vitalik o de algun allegado a el.....

[Filicius]

Dudo mucho que Vitalik haya tenido nada que ver, en parte porque ¿para qué, si ese dinero debe suponer calderilla para él? pero es alarmante lo que comentáis. No se trata de ningún aficionado precisamente. Si alguien tan conocedor de la parte técnica es vulnerable, todos lo somos. Quizá lo mejor, llegados a este punto, es mantener un perfil bajo en redes sociales, o mejor privado/anónimo.

[DdmrDdmr]

Entiendo que en el caso de Vitalik, si hubiese tenido activada el 2FA (*), se habría evitado la situación. Supongo que el hacker aún podría haber accedido a solicitar un restablecimiento de la contraseña (que no precisa el 2FA si no me equivoco), pero para acceder con la nueva contraseña sí precisaría el 2FA, cosa que no tendría el hacker.

En todo caso, el problema mayor radica en los operadores de telefonía y, sobretodo, en sus empleados que permiten o colaboran con estas acciones de SIM Swapping. No digo que sea sencillo de erradicar, sobre todo cuando colabora un empleado (se me ocurre, sin contemplarlo con toda seriedad, requerir la lectura de la huella digital del interesado para poder proceder).

(*) Sin la opción de mensaje de texto como mecanismo 2FA, sino authentication app o security key.

[Hispo]

Entiendo que en el caso de Vitalik, si hubiese tenido activada el 2FA (*), se habría evitado la situación. Supongo que el hacker aún podría haber accedido a solicitar un restablecimiento de la contraseña (que no precisa el 2FA si no me equivoco), pero para acceder con la nueva contraseña sí precisaría el 2FA, cosa que no tendría el hacker.

En todo caso, el problema mayor radica en los operadores de telefonía y, sobretodo, en sus empleados que permiten o colaboran con estas acciones de SIM Swapping. No digo que sea sencillo de erradicar, sobre todo cuando colabora un empleado (se me ocurre, sin contemplarlo con toda seriedad, requerir la lectura de la huella digital del interesado para poder proceder).

(*) Sin la opción de mensaje de texto como mecanismo 2FA, sino authentication app o security key.

Entonces ha sido confirmado que Vitalik no tenía esa opción de seguridad habilitada para su cuenta?
De ser así es una gran ironía que una persona bastante entendida de la seguridad computacional y los lenguajes de programación se le hubiese pasado algo que muchos que lo que no tienden de esa materia, hacen.

Personalmente creo que los ataques que SIM swapping se harán cada vez más raros con el tiempo, a la vez que las compañías migran de ese método de autentificación a otros como las llaves físicas y no lo digo porque la mayoría de los usuarios de internet estén acostumbradas a ellas, sino porque hacía allá es donde apunta el futuro de los llamados "long in sin contraseña".

Binance deja entrar en tu cuenta solo con el correo y la llave de seguridad registrada, por ejemplo.

[darbitmobilerecovery]

En todo caso, el problema mayor radica en los operadores de telefonía y, sobretodo, en sus empleados que permiten o colaboran con estas acciones de SIM Swapping. No digo que sea sencillo de erradicar, sobre todo cuando colabora un empleado (se me ocurre, sin contemplarlo con toda seriedad, requerir la lectura de la huella digital del interesado para poder proceder).

Esto es una VERGUENZA total , y ya lo hemos hablado anteriormente, pero es que es realmente inentendible como no se corrige esto, siendo que seria muy fácil de corregir.

Aca las preguntas que te realizan son demasiado basicas, y cualquiera que mire un poco tus redes sociales o te conozca podria hacerte el simswap sin mas, preguntas estilo.

X es tu padre?

Conoces a Y?

Vive en TTTT?

Impresentables, seria tan sencillo como aunque sea a esto agregarle un ultimo codigo de seguridad.

[DdmrDdmr]

<…>

Lo que pasa es que se dan dos familias de casos de uso:

- El que obtiene la sim de otra persona mediante el engaño, aprovechando la falta de diligencia del representante de telefonía que le atiende.

- El trabajador que, de manera consciente, colabora en los hechos (cuando no los ejecuta él mismo).

El primero de los casos se puede abordar con mejores procesos internos, formación y diligencia, aunque dudo que se erradique (mitigar en el mejor de los casos). El segundo caso es el más complicado de abordar, donde si bien debería quedar traza de quién ha hecho la acción (o de las credenciales usadas del compañero), y eso podría/debería tener consecuencias cuanto menos laborales, es difícil evitarlo de por sí del todo a mi entender.

No he logrado dar con algún tracking del número de casos a nivel mundial (tampoco es algo que sea sencillo compilar), pero por tener una pequeña pincelada, aquí se cita la cifra de 1.611 casos en EEUU entre el 2018 y el 2020, con un montante defraudado entorno a los 68M $ (supongo que aglutinando desfalcos bancarios, cripto, etc.).

[Hispo]

En todo caso, el problema mayor radica en los operadores de telefonía y, sobretodo, en sus empleados que permiten o colaboran con estas acciones de SIM Swapping. No digo que sea sencillo de erradicar, sobre todo cuando colabora un empleado (se me ocurre, sin contemplarlo con toda seriedad, requerir la lectura de la huella digital del interesado para poder proceder).

Esto es una VERGUENZA total , y ya lo hemos hablado anteriormente, pero es que es realmente inentendible como no se corrige esto, siendo que seria muy fácil de corregir.

Aca las preguntas que te realizan son demasiado basicas, y cualquiera que mire un poco tus redes sociales o te conozca podria hacerte el simswap sin mas, preguntas estilo.

X es tu padre?

Conoces a Y?

Vive en TTTT?

Impresentables, seria tan sencillo como aunque sea a esto agregarle un ultimo codigo de seguridad.

La cuestión con las preguntas de seguridad, es que es un formato que en la mayoría de los casos, garantizan que el usuario pueda ir a través del proceso de recuperación de forma efectiva y sin asistencia de un operador. Eso es especialmente deseable cuando un servicio bancario o de telefonía va dirigido no solo a un público joven (que saben cómo moverse bien en el ámbito tecnológico), sino tambien a personas con desconocimiento de tecnología o seguridad básica.

El Banco de Venezuela posee método de preguntas y respuestas para reinicio de clave, por ejemplo. ¿es un peligro? Si, lo es.

Pero en su mente les funcionará por cuan barato les sale en equipos de atención al cliente. Se trata de facilidad para ambos el operador y el cliente. Lamentablemente, también es una facilidad para los criminales.

[famososMuertos]

....//...
 No se trata de ningún aficionado precisamente. Si alguien tan conocedor de la parte técnica es vulnerable, todos lo somos.
...//,,,.

Lo he mencionado varías veces, todos los somos, creerse el hecho de que eres no vulnerable es el error progresivo a qué esto suceda... la mejor manera es siempre estar alerta, informado pero sobretodo estos casos y no porque sea el personaje en si mismo, si no que vas y miras el caso, luego te dices a ti mismo " lo tengo cubierto" y luego en la redundancia revisar que puedes mejorar.

La mejor actualización que uno puede darse es documentarse de estos casos, la mejor estafa es la que no conoces y los tipos detrás de este tipo de malechorias lo mejor que hacen es buscar como mejorar las estafas tradicionales, casualmente las que siempre tenemos cubiertas.

Es por ello que cualquier actualización de este hilo o de esa información que aquí se manifiesta en donde sea es de lectura obligatoria, leer Sin swapping y decir " se de qué hablan" es lo que diría un experto.

[DdmrDdmr]

Hace poco vimos como la SEC indicaba que su cuenta en Twitter fue hackeada, y como consecuencia, alguien logró postear un mensaje indicando que los ETFs se habían aprobado, cuando aún faltaban varias horas para hacerse oficial.

Habían dudas acerca de la autenticidad del hackeo, y a mí me sonaba más a que alguien se había adelantado que a otra cosa. No obstante la SEC itera en la versión del hackeo, y lo atribuye a un caso de sim-swapping:

“Access to the phone number occurred via the telecom carrier, not via SEC systems. SEC staff have not identified any evidence that the unauthorised party gained access to SEC systems, data, devices, or other social media accounts,” said the spokesperson.
<…>
Once in control of the phone number, the unauthorised party reset the password for the @SECGov account.

A su vez, indican que había tenían habilitado el 2FA en la cuenta, acorde a su protocolo interno, pero que llevaba meses desactivado por soporte (de Twitter) desde Julio 2023 debido a los problemas que tenían para acceder a su cuenta.

Ver:
https://www.computerweekly.com/news/366567197/SEC-Bitcoin-hack-was-result-of-SIM-swapping

[darbitmobilerecovery]

La pregunta que me hago es eso real, o es esa la forma mas facil de sacarse la culpa ellos y echarsela a un tercero que nadie conoce y que todo quede medio en la nada para ellos?.

Ademas que imagino que la SEC debe usar unos numeros corporativos contratados muy especificos, es mas diria que ni existe ese numero, tal vez lo usaron para activar la cuenta y despues fue desactivado o eso imaginaria yo que se haria en grandes empresas o entes a fin de preservar aun mas ciertas cuestiones, dicho esto cuentas importantes tendrian que empezar a tener un multi-sig o cosas por el estilo, cuestion que no pueda un solo empleado/usuario acceder facilmente.

[famososMuertos]

Es inaudito, y por añadido precisamente en una de las noticias más esperadas de los últimos años, vaya coincidencia, bueno, como sucede con los "gringos" al estilo de black mirror, es posible que nunca sepamos la verdad.

[Hispo]

Es inaudito, y por añadido precisamente en una de las noticias más esperadas de los últimos años, vaya coincidencia, bueno, como sucede con los "gringos" al estilo de black mirror, es posible que nunca sepamos la verdad.

Al final dejarán que la noticia se haga vieja y se olvide. Es lo que suelen hacer muchas compañias y agencias de gobierno cuando han comedito un error que saben es bastante grave para el supuesto nivel que deberían de estar manejando. Sea como sea, creo que más allá del manejo de la credenciales por parte de la SEC, esto es un recordatorio de que Twitter/X sigue siendo uno de los blancos más apetecibles para todo tipo de criminal informático que desee hacerse de forma temporal con la cara, imagen y credibilidad de cualquier persona que tenga una cuenta verificada allí (claro que la verificación ahora sifnifica mucho menos que antes, desde que Musk se hizo con el poder de la red social).
Dejando a un lado la caída de su valor y las quejas de los usuarios por el tipo de contenido que se puede o no ver dentro de Twitter/X, sigue siendo unas de las redes líderes para la difusion de mensajes cortos alrededor del mundo en un abrir y cerrar de ojos.

Lo que faltaria es descubrir que las cuentas oficiales de la casa blanca y de POTUS no tienen factor de doble seguridad activado. 

[DdmrDdmr]

En España, la Guardia Civil (cuerpo de policía) ha detenido a 7 personas de diversas nacionalidades por estar detrás de estafas mediante acciones de sim swapping, pero que además contaban con la colaboración en distintos grados de hasta 74 personas en Venezuela. La banda logró estafar un total de 3.381.000 €, esencialmente del robo de fondos de cuentas bancarias de sus víctimas.

Las criptomonedas salen en la noticia, sin citarse casos de robo a los estafados, pero sí dentro del conjunto de elementos intervenidos a los delincuentes: 2 tarjetas de criptomonedas y un monedero.

El articulo no detalla más, pero sería interesante conocer los detalles de cómo lograron engañar al operador telefónico (supongo que con compinches de alguna tienda de venta de telefonía).

Ver:
https://www.larazon.es/sociedad/guardia-civil-desmantela-banda-que-estafo-mas-tres-millones-sistema-sim-swapping_20240404660e60900999030001d0c93e.html

[Hispo]

En España, la Guardia Civil (cuerpo de policía) ha detenido a 7 personas de diversas nacionalidades por estar detrás de estafas mediante acciones de sim swapping, pero que además contaban con la colaboración en distintos grados de hasta 74 personas en Venezuela. La banda logró estafar un total de 3.381.000 €, esencialmente del robo de fondos de cuentas bancarias de sus víctimas.

Las criptomonedas salen en la noticia, sin citarse casos de robo a los estafados, pero sí dentro del conjunto de elementos intervenidos a los delincuentes: 2 tarjetas de criptomonedas y un monedero.

El articulo no detalla más, pero sería interesante conocer los detalles de cómo lograron engañar al operador telefónico (supongo que con compinches de alguna tienda de venta de telefonía).

Ver:
https://www.larazon.es/sociedad/guardia-civil-desmantela-banda-que-estafo-mas-tres-millones-sistema-sim-swapping_20240404660e60900999030001d0c93e.html

Muy triste y vergonzoso, pero lamentablemente es una realidad que aquí en Venezuela desde ya hace un tiempo que nos hemos convertido en algo así como la cuna de muchas estafas y métodos para sacarle el dinero a la gente de forma ilegal. Eso debido a la impunidad y al nivel de falta de información que sufren muchas personas que manejan sus cuentas bancarias. Los adultos mayores son especialmente vulnerables.

Uno pensaría que luego de un par de noticias como esta saliendo del viejo continente, hubiese Sido más que suficiente para que todas las operadoras Españolas (y quizá europeas) saliesen pitando a derogar los mensajes SMS y llamadas como método de autentificación, pero por aún motivo no lo han hecho. A saber por qué.

Ya que muchos de los teléfonos Android y IOS están ya incorporando biometría para la autentificación dentro de las aplicaciones bancarias y de exchanges, solo cabe esperar que cuando haya una masificación de los mismos, eso del simswapping quede ennel pasado. Ya veremos si luego tendremos que utilizar guantes todos los días por miedo a que algún maliante robe nuestras huellas digitales que dejamos en una baranda en el parque e intente hace moldes de hule que hagan Match con ellas.

 

[famososMuertos]

::/DdmrDdmr/:::
Si uno Lee la noticia, pareciera que la banda tiene el catálogo de estafas phishing completa;

La víctima leyó un correo electrónico en el que se le comunicaba que había cambiado la contraseña del correo, y que si quería restablecerla de nuevo debía pulsar en un enlace.

Fuente: OP.

De alguna manera el camino a este tipo de estafas tiene la ingeniería social, ya que no es una estafa random.

Y ahora que las eSim son más comunes pudieran tenerla más fácil (!?)

[darbitmobilerecovery]

Ya que muchos de los teléfonos Android y IOS están ya incorporando biometría para la autentificación dentro de las aplicaciones bancarias y de exchanges, solo cabe esperar que cuando haya una masificación de los mismos, eso del simswapping quede ennel pasado. Ya veremos si luego tendremos que utilizar guantes todos los días por miedo a que algún maliante robe nuestras huellas digitales que dejamos en una baranda en el parque e intente hace moldes de hule que hagan Match con ellas.

 

Jajajajaja a ponerse cianocrilato en las yemas.....

No, igual eso creo que es medio imposible que suceda asi te copien la huella, porque normalmente igual sigue existiendo otro factor prexistente sea un numero de cuenta o un token que cambia cada tantos segundos y miles de etc mas, es muy improbable hoy en dia ver algo a lo cual se pueda acceder remotamente con una sola verificación aunque esta sea biometrica.

Aunque bueno siempre esta latente la posibilidad y hay que cuidarse.

Yo le tengo mas miedo a las herramientas potentes de baterias que existen hoy en dia que permiten cortar hasta rejas llevándolas en una disimulada mochila.

[seoincorporation]

Muy triste y vergonzoso, pero lamentablemente es una realidad que aquí en Venezuela desde ya hace un tiempo que nos hemos convertido en algo así como la cuna de muchas estafas y métodos para sacarle el dinero a la gente de forma ilegal. Eso debido a la impunidad y al nivel de falta de información que sufren muchas personas que manejan sus cuentas bancarias. Los adultos mayores son especialmente vulnerables.

No solo Venezuela mi estimado, creo que varios paises de latinoamérica e incluso México son la cuna de muchas estafas, como dices esto se debe a los elevados niveles de corrupción e impunidad.

Justo esta semana me enteré de un tipo de estafa el cual desconocía, en dicha estafa utilizan tu buzon de voz para robar tu cuenta de whatsapp. Me costó un poco entender como funciona la estafa pero resulta que nuestro vuzón de voz lo podemos revisar desde otro dispositivo, y si la clave que tenemos es algo simple como 0000, entonces el atacante puede solicitar el codigo de recuperación de cuenta a través de llamada, esto lo hace a elevadas horas d ela noche sabiendo que dicho código será enviado al buzón. Es una locura ¿no cren?

[Hispo]

Muy triste y vergonzoso, pero lamentablemente es una realidad que aquí en Venezuela desde ya hace un tiempo que nos hemos convertido en algo así como la cuna de muchas estafas y métodos para sacarle el dinero a la gente de forma ilegal. Eso debido a la impunidad y al nivel de falta de información que sufren muchas personas que manejan sus cuentas bancarias. Los adultos mayores son especialmente vulnerables.

No solo Venezuela mi estimado, creo que varios paises de latinoamérica e incluso México son la cuna de muchas estafas, como dices esto se debe a los elevados niveles de corrupción e impunidad.

Justo esta semana me enteré de un tipo de estafa el cual desconocía, en dicha estafa utilizan tu buzon de voz para robar tu cuenta de whatsapp. Me costó un poco entender como funciona la estafa pero resulta que nuestro vuzón de voz lo podemos revisar desde otro dispositivo, y si la clave que tenemos es algo simple como 0000, entonces el atacante puede solicitar el codigo de recuperación de cuenta a través de llamada, esto lo hace a elevadas horas d ela noche sabiendo que dicho código será enviado al buzón. Es una locura ¿no cren?

Ya desde hace rato yo he recomendado a todos los que conozco que utilicen algún tipo de factor de doble utenticacion para utilizar WhatsApp desde otro cualquier dispositivo. Las estafas a través de esa aplicación de mensajería fueron muy comunes aquí en Venezuela desde hace dos años hasta finales del pasado. Sea como sea, aunque la persona efectivamente pierda el control completo de su buzón de voz, los atacantes necesitarías la huella dactilar o la contraseña del usuario para poder iniciar sesión desde el nuevo teléfono. Lo que parece insólito es la poca cantidad de gente que sabe de es buena práctica y que prefiere dejar la aplicación despritegida.
Demonios, incluso conozco a un señor que no solo no usa esa clase de autentificación con WhatsApp, sino que también tiene el smartphone sin contraseña, ni patrón, solo es cuestión de deslizar el dedo hacia arriba o presionar el boton de encendido para usarlo ...

[DdmrDdmr]

Leemos acerca de casos de sim swapping con consecuencias nefastas sobre el dinero o las cuentas de criptomonedas de las víctimas, pero lo que es menos habitual es que leamos sobre multas aplicadas a las operadoras por no poner los controles suficientes a esta práctica.

Recientemente, el operador de telefonía móvil Digi ha sido multado con 200.000 € por la Agencia Española de Protección de Datos, al realizar entregar un duplicado de una tarjeta sim a alguien que no era el titular. El usurpador de identidad luego aprovechó para aligerar la cuenta bancaria de la afectada a su favor.

Digi, el operador, no obstante ha recurrido la sanción, y ha solicitado que ésta se suspende. Reitera a su vez que procedieron de manera correcta, por lo que entiendo que están llamando de manera velada mentirosa a la persona afectada…

Ver:
https://www.genbeta.com/seguridad/multa-200-000-euros-a-digi-duplicar-tarjeta-sim-pedir-dni-darsela-a-estafador-que-no-dudo-robar-a-victima

[darbitmobilerecovery]

Leemos acerca de casos de sim swapping con consecuencias nefastas sobre el dinero o las cuentas de criptomonedas de las víctimas, pero lo que es menos habitual es que leamos sobre multas aplicadas a las operadoras por no poner los controles suficientes a esta práctica.

Recientemente, el operador de telefonía móvil Digi ha sido multado con 200.000 € por la Agencia Española de Protección de Datos, al realizar entregar un duplicado de una tarjeta sim a alguien que no era el titular. El usurpador de identidad luego aprovechó para aligerar la cuenta bancaria de la afectada a su favor.

Digi, el operador, no obstante ha recurrido la sanción, y ha solicitado que ésta se suspende. Reitera a su vez que procedieron de manera correcta, por lo que entiendo que están llamando de manera velada mentirosa a la persona afectada…

Ver:
https://www.genbeta.com/seguridad/multa-200-000-euros-a-digi-duplicar-tarjeta-sim-pedir-dni-darsela-a-estafador-que-no-dudo-robar-a-victima

Perfectamente sancionados y es mas creo que la multa es poca porque es una brutalidad lo que hicieron, como vas a dar un duplicado (cosa que nisiqueira sabia que se podía hacer) a una persona FISICA de forma FISICA (valga la redundancia) sin corroborar si es la persona en cuestión o no.

OT: Recien me entero que es DIGI lo vi esta temporada auspiciando a muchos equipos de LaLiga de España como el Bilbao el Rayo Vallecano el Betis y varios mas en la parte trasera inferior de las camisetas y me preguntaba que sera que auspicia a tantos equipos. Bueno al final con esta publicidad no van a poder tapar esta pésima publicidad.