211service.com
La brecha de seguridad de Gmail podría llevar a una recolección masiva de cuentas
Una técnica utilizada por los especialistas en marketing para engañar a las personas para que se registren y obtener productos gratuitos podría volver a implementarse fácilmente como un motor para recolectar un número incalculable de contraseñas de cuentas de Google. Solucionar el problema no será trivial para Google, porque el exploit es fundamental para que Google permita a los usuarios recuperar el acceso a sus cuentas cuando pierden u olvidan sus contraseñas.

El procedimiento de recuperación de la cuenta de Google puede hacer que los usuarios no tengan claro que les están dando a los piratas informáticos acceso completo a su cuenta.
Mientras que otros han informado sobre el uso de este exploit por parte de hackers individuales, creo que lo que está leyendo ahora es el primer relato de cómo podría transformarse en una estafa de phishing masiva que podría arrastrar incluso a usuarios relativamente sofisticados.
El hack
Recientemente, mi esposa y yo recibimos, con una hora de diferencia, un mensaje de texto como este:
¡Tu entrada el mes pasado ha GANADO! Ir http: // xxxxxx ingrese su código ganador: 1122 para reclamar su tarjeta de regalo Best Buy de $ 1,000 GRATIS.
Nuestros números de teléfono son casi idénticos, por lo que el hecho de que ambos recibamos este texto en un período corto de tiempo sugiere que alguien lo está enviando automáticamente a cada número en un rango determinado, uno tras otro. Lo que lo convertiría en spam de texto clásico, molesto pero no peligroso por sí solo.
La URL contenida en el texto va a este sitio web, http://bestbuy.bestgiftcardsforu.com/ que solicita su dirección de correo electrónico. El sitio parece estar afiliado a (o al menos está enlazando y toma prestado texto de) MyRewardsClub.com . No creo que estas personas sean piratas informáticos, solo especialistas en marketing.
Pero así es como los piratas informáticos pueden convertir este esquema de marketing en un esquema de recolección de contraseñas: después de que los usuarios ingresan su dirección de correo electrónico, si es una dirección de Gmail, los piratas informáticos pueden solicitar automáticamente que Google envíe un código de verificación de cuenta al teléfono celular del propietario de ese Gmail. habla a. Esto es lo que hace Google cuando le dice que olvidó su contraseña: una de las tres opciones para recuperarla es que le envíen un código de verificación al número de teléfono celular asociado con su cuenta.
Para que el usuario reclame su recompensa (en este caso, una tarjeta de regalo falsa de $ 1000), el sitio podría indicarle que ingrese el código de verificación que Google envió al teléfono del usuario. Tan pronto como el sitio tenga la dirección de Gmail de un usuario y ese código de verificación, se acabó el juego: los piratas informáticos pueden usar el código para iniciar sesión en esa cuenta y cambiar inmediatamente la contraseña, dándoles acceso y bloqueando al usuario en su propia cuenta.
Otros ejemplos de The Hack
Este exploit parece ser precisamente la forma en que un pirata informático obtuvo acceso a varias cuentas en el curso de la obtención de imágenes para el sitio web Is Anyone Up, como lo describe Camille Dodero en un característica reciente de Village Voice :
¿Es realmente tan fácil piratear una cuenta de Gmail? Compruébelo usted mismo: vaya a la pantalla de inicio de sesión de Gmail y haga clic en el enlace que se ignora con frecuencia debajo del menú de inicio de sesión: ¿No puede acceder a su cuenta? Aparecen tres opciones; elige Olvidé mi contraseña. Escriba una dirección de Gmail, cualquier dirección de Gmail activa, y si hay un número de teléfono asociado con la cuenta, se le ofrecen tres opciones más, una de las cuales es Obtener un código de verificación en mi teléfono. Ni siquiera necesita saber el número de teléfono. Simplemente presione continuar y aparecerá un código de seis dígitos no relacionado en un mensaje de texto al teléfono del propietario de la cuenta. Escriba ese código de verificación, un número que puede obtener fácilmente un impostor electrónico enmascarado, y estará dentro. Lo primero que se le pide que haga es cambiar inmediatamente su contraseña, bloqueando así al propietario original.
En otras palabras, si un pirata informático solo conoce tu dirección de Gmail y puede averiguar cómo acceder a tu teléfono, ya está metido en tu mierda.
En el caso del pirata informático que recopila imágenes para Is Anyone Up, parece que conversó con los objetivos a través de Facebook.
Un esquema de phishing cada vez más común
Este ataque ha sido utilizado por otros y puede estar muy extendido. Lokesh Singh , un hacker profesional, describe en el sitio HackingLoops cómo uno de sus clientes fue víctima de este mismo hack , solo el atacante usó Gchat para convencer a la víctima de que le entregara el código de verificación que Google le había enviado por mensaje de texto.
Lo que Google y sus usuarios enfrentan, en otras palabras, es un esquema de phishing que parece funcionar incluso en usuarios relativamente sofisticados, o al menos del tipo que son lo suficientemente inteligentes como para no hacer clic en enlaces aleatorios en correos electrónicos no deseados. Pero lo que describí al principio de este artículo potencialmente lleva este ataque a un nivel completamente nuevo, más allá de los hacks de cuentas individuales que requieren mucha mano de obra y al ámbito de la recolección automatizada de contraseñas a gran escala.
Es genial que Google tenga una forma para que los usuarios recuperen el acceso a sus cuentas de Gmail que se basa en un dispositivo secundario al que los piratas informáticos casi nunca tienen acceso: el teléfono celular de un usuario. El eslabón débil, como siempre, es el humano que ya tiene acceso a todos sus puntos de contacto supuestamente seguros: el usuario mismo. Quizás este ataque pueda ser bloqueado simplemente creando conciencia sobre el hecho de que nadie debería entregar su código de verificación de Google .