Phishing - La evolución indetectable y cómo proteger a tu organización
Tabla de contenido:
Investigadores de Secure Science descubrieron recientemente formas de realizar llamadas no autorizadas tanto desde Skype como desde los nuevos sistemas de comunicaciones de Google Voice, según Lance James, cofundador de la compañía.
Escuchas ilegales por IP
Un atacante podría obtener acceso a cuentas usando técnicas descubiertas por los investigadores, luego utilizan un programa PBX (intercambio de sucursales privadas) de bajo costo para hacer miles de llamadas a través de esas cuentas.
"Si robo un montón de [cuentas de Skype], puedo configurar [un PBX] para hacer un ciclo completo de todos esos números, y puedo configurar un botnet virtual de Skype para hacer llamadas salientes. Sería un infierno sobre ruedas para un phisher y sería un gran ataque para Skype ", dijo James.
En Google Voice, el atacante podría incluso interceptar o husmear en las llamadas entrantes, dijo James. Para interceptar una llamada, el atacante usaría una función llamada Transferencia de llamada temporal para agregar otro número a la cuenta, luego usaría software gratuito como Asterisk para responder la llamada antes de que la víctima oyera un timbre. Al presionar el símbolo de la estrella, la llamada podría reenviarse al teléfono de la víctima, lo que le da al atacante una forma de escuchar la llamada.
Spoofing Fuente de una llamada
Los investigadores de Secure Science pudieron acceder a las cuentas que habían configurado utilizando un servicio en línea llamado spoofcard, que permite a los usuarios hacer que parezca que están llamando desde cualquier número que deseen.
Spoofcard se ha utilizado en el pasado para acceder a las cuentas de correo de voz. Lo más famoso fue que la cuenta de la actriz Lindsay Lohan fue pirateada hace tres años y luego se utilizó para enviar mensajes inapropiados.
Los ataques a Google Voice y Skype utilizan diferentes técnicas, pero básicamente ambos funcionan porque ninguno de los servicios requiere una contraseña para acceder a su sistema de correo de voz.
Para que el ataque de Skype funcione, se debería engañar a la víctima para que visite un sitio web malicioso en un plazo de 30 minutos después de iniciar sesión en Skype. En el ataque de Google Voice (pdf), el pirata informático necesitaría primero saber el número de teléfono de la víctima, pero Secure Science ha ideado una forma de resolverlo utilizando el Servicio de mensajes cortos (SMS) de Google Voice.
Fallas de direcciones de Google
Google parchó los errores que permitieron el ataque de Secure Science la semana pasada y agregó un requisito de contraseña a su sistema de correo de voz, dijo la compañía en un comunicado. "Hemos estado trabajando en coordinación con Secure Science para abordar los problemas que plantearon con Google Voice, y ya hemos realizado varias mejoras en nuestros sistemas", dijo la compañía. "No hemos recibido ningún informe de que se acceda a ninguna cuenta de la manera descrita en el informe, y tal acceso requeriría una serie de condiciones que se cumplirán simultáneamente."
Los fallos de Skype aún no se han corregido, según James. EBay, la empresa matriz de Skype, no respondió de inmediato a una solicitud de comentarios.
Los ataques muestran cuán complicado será integrar con seguridad el sistema telefónico de la vieja escuela en el mundo más libre de Internet, dijo James. "Este tipo de pruebas … lo fácil que es VoIP para arruinar", dijo. Él cree que estos tipos de fallas casi seguramente afectan a otros sistemas de VoIP también. "Hay personas que pueden descubrir cómo tocar sus líneas telefónicas".
Las advertencias del certificado de seguridad no funcionan, dicen los investigadores
Los investigadores de Carnegie Mellon dicen que los usuarios ignoran en gran medida las advertencias de "certificado inválido" que los navegadores a veces se muestran.
Las contraseñas específicas de la aplicación debilitan la autenticación de dos factores de Google, dicen los investigadores
Los investigadores descubrieron una laguna en el sistema de autenticación de Google que les permitía Para evitar la verificación de inicio de sesión de 2 pasos de la compañía, se abusa de las contraseñas únicas utilizadas para las aplicaciones individuales. Los investigadores del proveedor de autenticación de dos factores Duo Security encontraron una laguna en el sistema de autenticación de Google que les permitió omitir la verificación de inicio de sesión de 2 pasos de la empresa. abusando de l
Flaw permite atacar a los gamers de Origin, investigadores de seguridad dicen que los
Users of Origin, la plataforma de distribución de juegos de Electronic Arts, son vulnerables al código remoto Según los investigadores de seguridad, los usuarios de Origin, la plataforma de distribución de juegos de Electronic Arts (EA), son vulnerables a ataques de ejecución remota de código a través de URL de origen: //, de acuerdo con dos investigadores de seguridad.