Un usuario de Twitter, que tenía registrada una extraña cuenta de solo una letra (@N), y por la cual han llegado a ofrecer 50 mil dólares fue robada por un ciberdelincuente, quien extorsionó al dueño para obtenerla.
La historia parece de película: Naoki Hiroshima, el dueño de la cuenta, explica que le han llegado a ofrecer la suma de 50 mil dólares por ella y que, como se la trataron de robar varias veces, ver instrucciones de restablecimiento de contraseña en su mail era algo normal. Sin embargo, el atacante que finalmente la obtuvo lo hizo a través de técnicas de ingeniería social para obtener las cuentas de PayPal y GoDaddy de la víctima y poder llevar a cabo su extorsión.
Lo curioso de este caso es cómo el atacante pudo conseguir la cuenta de GoDaddy de la víctima para poder extorsionarla. Básicamente, llamó por teléfono a PayPal pudiendo obtener así los últimos 4 dígitos de la tarjeta de crédito de la víctima; entonces procedió a llamar a GoDaddydiciendo que había perdido su tarjeta de crédito pero que recordaba sus últimos 4 dígitos validando así la falsa identidad. Con estos datos, el atacante consiguió apoderarse de los dominios personales de la víctima (registrados en GoDaddy) y le dijo que solo los devolvería a cambio de que renunciara a la cuenta @N. Hiroshima, luego de analizar la situación, decidió ceder su cuenta con lo que el delincuente cumpliendo “su palabra” le devolvió el usuario y contraseña de dominios enGoDaddy. Todo este proceso es relatado por el mismo ciberdelincuente en los mensajes que enviaba a su víctima.
Tal como menciona la victima de esta extorsión, una buena práctica para evitar estas situaciones es usar más de una cuenta de email para los servicios web, ya que si se usa la misma cuenta para todos los servicios, un atacante podría deducir que al usar la misma cuenta de correo, también podría tener la misma contraseña, por lo que consiguiendo usuario y contraseña de solo una cuenta podría acceder a redes sociales y demás servicios asociados.
Otras de las buenas practicas que hace mención la víctima es el uso de la doble autenticación, ya que usando esta metodología se dificulta mucho que un ciberdelincuente pueda realizar robos de datos.
Cabe destacar la importancia y el alcance que puede tener la fuga de información, especialmente con este caso como ejemplo de cómo un atacante se aprovecha de esta fallapara apoderarse nada menos que de los dominios de una víctima. Luego, con un poco de Ingeniería Social y empleados poco cautelosos, puede obtener información valiosa que es utilizada para extorsionar y obtener la cuenta de Twitter deseada de forma inescrupulosa.
Actualización 30 de Enero – Pronunciamiento de PayPal
PayPal hizo una publicación donde se pronuncia al respecto del incidente aclarando que después de revisar los registros donde hubo un intento fallido para obtener la información de este cliente, no hay evidencia que se diera ningún tipo de información financiera de La cuenta, y por lo tanto no fue comprometida.
En el comunicado aclaran que su personal está calificado y preparado para enfrentar este tipo de técnicas de ingeniería social, y que cada día trabajan para mejorar sus procesos de validación y seguridad.
Actualización 31 de Enero – GoDaddy también se pronunció al respecto
Después de que PayPal explicara que en su caso no había evidencia de algún error que permitiera la fuga de información de Naoki Hiroshima, el CISO de GoDaddy publicó una corta declaración al respecto en la que reconocen que le dieron acceso total al atacante ya que este contaba con mucha información personal de la víctima.
Además aclaran que están trabajando con sus socios de negocio y mejorando el plan de entrenamiento de sus empleados para que este tipo de incidentes no se vuelvan a presentar.