Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
30/01/2014
Un compte de Twitter de 50 mil dòlars es perd per extorsió
Un usuari de Twitter, que tenia registrat un estrany compte de només una lletra (@N), i pel qual han arribat a oferir 50 mil dòlars, va ser robat per un ciberdelinqüent, que va extorsionar el propietari per a obtindre’l.
La història pareix de pel·lícula: Naoki Hiroshima, el propietari del compte, explica que li han arribat a oferir la suma de 50 mil dòlars pel compte i que, com li l’han tractat de robar diverses vegades, veure instruccions de restabliment de contrasenya en el seu correu electrònic era un fet normal. No obstant això, l’atacant que finalment l’ha obtingut ho va fer a través de tècniques d’enginyeria social per a obtindre els comptes de PayPal i GoDaddy de la víctima i poder dur a terme l’extorsió.
El curiós d’este cas és com l’atacant va poder aconseguir el compte de GoDaddy de la víctima per a poder extorsionar-la. Bàsicament, va telefonar a PayPal i va poder obtindre així els últims 4 dígits de la targeta de crèdit de la víctima; llavors va procedir a telefonar a GoDaddy dient que havia perdut la seua targeta de crèdit però que recordava els seus últims 4 dígits, validant així la falsa identitat. Amb estes dades, l’atacant va aconseguir apoderar-se dels dominis personals de la víctima (registrats en GoDaddy) i li va dir que només els tornaria a canvi que renunciara al compte @N. Hiroshima, després d’analitzar la situació, va decidir cedir el seu compte, i així el delinqüent, complint “la seua paraula”, li va tornar l’usuari i la contrasenya de dominis en GoDaddy. Tot este procés és relatat pel mateix ciberdelinqüent en els missatges que enviava a la seua víctima.
Tal com menciona la víctima d’esta extorsió, una bona pràctica per a evitar estes situacions és usar més d’un compte de correu electrònic per als servicis web, ja que si s’usa el mateix compte per a tots els servicis un atacant podria deduir que, atés que usa el mateix compte de correu, també podria tindre la mateixa contrasenya, per la qual cosa aconseguint usuari i contrasenya de només un compte podria accedir a xarxes socials i la resta de servicis associats.
Altres de les bones pràctiques que esmenta la víctima és l’ús de la doble autenticació, ja que usant esta metodologia es dificulta molt que un ciberdelinqüent puga realitzar robatoris de dades.
Cal destacar la importància i l’abast que pot tindre la fuga d’informació, especialment amb este cas com a exemple de com un atacant s’aprofita d’esta falla per a apoderar-se ni més ni menys que dels dominis d’una víctima. Després, amb un poc d’enginyeria social i empleats poc cautelosos, pot obtindre informació valuosa que és utilitzada per a extorsionar i obtindre el compte de Twitter desitjat de forma inescrupolosa.