Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
30/01/2014
Una cuenta de Twitter de 50 mil dólares se pierde por extorsión
Un usuario de Twitter, que tenía registrada una extraña cuenta de solo una letra (@N), y por la cual han llegado a ofrecer 50 mil dólares fue robada por un ciberdelincuente, quien extorsionó al dueño para obtenerla.
La historia parece de película: Naoki Hiroshima, el dueño de la cuenta, explica que le han llegado a ofrecer la suma de 50 mil dólares por ella y que, como se la trataron de robar varias veces, ver instrucciones de restablecimiento de contraseña en su mail era algo normal. Sin embargo, el atacante que finalmente la obtuvo lo hizo a través de técnicas de ingeniería social para obtener las cuentas de PayPal y GoDaddy de la víctima y poder llevar a cabo su extorsión.
Lo curioso de este caso es cómo el atacante pudo conseguir la cuenta de GoDaddy de la víctima para poder extorsionarla. Básicamente, llamó por teléfono a PayPal pudiendo obtener así los últimos 4 dígitos de la tarjeta de crédito de la víctima; entonces procedió a llamar a GoDaddy diciendo que había perdido su tarjeta de crédito pero que recordaba sus últimos 4 dígitos validando así la falsa identidad. Con estos datos, el atacante consiguió apoderarse de los dominios personales de la víctima (registrados en GoDaddy) y le dijo que solo los devolvería a cambio de que renunciara a la cuenta @N. Hiroshima, luego de analizar la situación, decidió ceder su cuenta con lo que el delincuente cumpliendo “su palabra” le devolvió el usuario y contraseña de dominios en GoDaddy. Todo este proceso es relatado por el mismo ciberdelincuente en los mensajes que enviaba a su víctima.
Tal como menciona la victima de esta extorsión, una buena práctica para evitar estas situaciones es usar más de una cuenta de email para los servicios web, ya que si se usa la misma cuenta para todos los servicios, un atacante podría deducir que al usar la misma cuenta de correo, también podría tener la misma contraseña, por lo que consiguiendo usuario y contraseña de solo una cuenta podría acceder a redes sociales y demás servicios asociados.
Otras de las buenas practicas que hace mención la víctima es el uso de la doble autenticación, ya que usando esta metodología se dificulta mucho que un ciberdelincuente pueda realizar robos de datos.
Cabe destacar la importancia y el alcance que puede tener la fuga de información, especialmente con este caso como ejemplo de cómo un atacante se aprovecha de esta falla para apoderarse nada menos que de los dominios de una víctima. Luego, con un poco de Ingeniería Social y empleados poco cautelosos, puede obtener información valiosa que es utilizada para extorsionar y obtener la cuenta de Twitter deseada de forma inescrupulosa.