Autenticación multifactor basada en SMS: ¿Qué podría salir mal? Mucho

La autenticación multifactor está de moda en estos días. Todos los sitios web le piden que lo encienda, y por una buena razón. Cuando una violación de datos expone el hecho de que su contraseña es «contraseña», los malhechores aún no ingresarán a su cuenta porque no tienen el otro factor de autenticación. Por lo general, es un código enviado por mensaje de texto a su teléfono o enviado a través de una aplicación de autenticación.

Esos dos métodos parecen similares, pero el primero resulta ser un gran riesgo para la seguridad. En una atractiva presentación en equipo en Black Hat, Thomas Olofsson y Mikael Byström, CTO y director de OSINT en FYEO, respectivamente, demostraron una técnica que llaman smishmash para demostrar que usar mensajes de texto como segundo factor es muy arriesgado.

¿Qué es FYEO? ¿Qué es OSINT? ¿Qué es Smishing?

Según su sitio web, FYEO es «Ciberseguridad para Web 3.0», lo que significa que promueve una Internet descentralizada, junto con finanzas y seguridad descentralizadas. Algunos también usan FYEO para referirse a For Your Eyes Only: ¡tonos de James Bond!

En cuanto a OSINT, es la abreviatura de inteligencia de código abierto, y el término estaba muy presente en Black Hat. Significa recopilar y analizar información abiertamente disponible para desarrollar inteligencia útil. Es sorprendente lo que un investigador dedicado puede obtener basándose en información que no está oculta de ninguna manera.

Ha oído hablar del phishing, esa técnica en la que los estafadores astutos lo engañan para que inicie sesión en una réplica del sitio de un banco u otro sitio seguro, y así roban sus credenciales de inicio de sesión. Los enlaces de phishing generalmente llegan a través de correos electrónicos, pero a veces los mensajes SMS son el portador. En ese caso, usamos el encantador término smishing.

¿Por qué los textos son inseguros?

“Lo llamamos smishmash porque es una combinación de técnicas”, explica Olofsson. “SMS para autenticación de dos factores [2FA] está roto. Esto no es noticia; se ha roto desde el inicio. Nunca fue pensado para este uso. Hemos estado falsificando mensajes de texto desde que comenzamos a piratear. Es solo que ahora estamos viendo la militarización”.

Los mensajes de texto tienen una mayor confianza implícita que las estafas por correo electrónico y, por lo tanto, una tasa de éxito más alta, señala. Olofsson revisó varias infracciones de interés periodístico relacionadas con smishing y 2FA, incluido un robo importante de NFT de OpenSea. “Vemos un gran aumento en la cantidad de ataques de smishing”, dice. “¿Cuántos de ustedes han recibido un mensaje de texto no solicitado en la última semana? Sus números de teléfono se filtran cada vez más”.

«Lo que hemos hecho [is combine] una búsqueda en la red clara y la red oscura para crear una enorme base de datos», dice Byström.

«Al hacer esta investigación, recibimos mucho spam», agrega Olofsson. «Incluso ‘¿quieres comprar la lista de asistentes de Black Hat?’ Bajamos el precio por debajo de los 100 dólares».

“Las credenciales filtradas solían ser el nombre de usuario y la contraseña”, dice Olofsson. “Ahora, si tiene un nombre de usuario, una contraseña descifrada y un número de teléfono, tiene muchas posibilidades de superar la 2FA. Tenemos una base de datos de 500 millones de números de teléfono, por lo que podemos vincular una de cada cinco direcciones de correo electrónico con un número de teléfono”.

¿Cómo funciona una infracción de 2FA?

“La forma más común de engañar a 2FA es iniciar un restablecimiento de contraseña y luego engañar al dispositivo”, explica Olofsson. “Observamos seis ataques del mundo real y tres implican la recuperación de cuentas. En general, el proceso de recuperación de la cuenta es muy laxo”.

El SMS se desarrolló en la década de los 80 y el primer mensaje de texto se envió en 1992. “Nunca tuvo la intención de ser seguro. No hay suma de verificación, ni verificación del remitente, ni nada. Y hay varias formas de enviar mensajes de texto «, dice.» Manualmente por su teléfono, duh. Envíalo a través de un módem con un teléfono antiguo. O use un servicio de API».

Esa suplantación de identidad es lo que el dúo demostró en Black Hat. Posteriormente, Olofsson señaló que solo puede comprar la tecnología para realizar estos ataques. “Por $ 160, puede comprar hardware personalizado de Alibaba para hacer esto”, dice, mostrando una página del sitio. “Incluso los que pueden procesar 64 ataques a la vez. Pueden falsificar el IMEI, falsificar el remitente de SMS. Este es un secreto bien conocido: en realidad los están comercializando”.

El equipo analizó algunos métodos y servicios técnicos que las organizaciones podrían usar para protegerse contra este ataque, aunque está claro que la mejor solución es simplemente evitar depender de SMS. También ofrecieron la base de datos completa, con contraseñas codificadas e ilegibles, a los asistentes de Black Hat, para que cualquiera pudiera verificar si su número de teléfono está expuesto. Los investigadores de seguridad totalmente acreditados pueden negociar el acceso a la versión completa sin hash.

La lección es clara. Para cualquier sitio que le dé una opción, no opte por la autenticación basada en SMS. Si se trata de una cuenta importante que no ofrece ninguna otra opción, por ejemplo, su banco, comuníquese con la organización y pídales que lo hagan mejor.

Nota de los editores: después de la publicación de este artículo, Oloffson y Byström se comunicaron con nosotros con un enlace para que el público verificara sus propios números de teléfono. Simplemente haga clic en este enlace(Se abre en una nueva ventana) e ingrese su número de teléfono sin puntuación, incluido el código de país al comienzo (+1 para números de EE. UU.).