Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Buscador

Entradas Mensuales

Suscripción

¿Quieres recibir las últimas novedades del blog en tu correo?

¡Suscríbete al feed!

Foro de elhacker.net - Noticias

elhacker.NET en Facebook

Entradas populares

PostHeaderIcon Tres ejemplos de incidentes reales de acoso utilizando Internet




La experiencia demuestra que incluso los expertos en Internet cometen errores al protegerse contra los ataques de hackeo dirigidos. Ya que nuestro día a día está cada vez más conectado a Internet y a otras redes, la seguridad online se está convirtiendo en una necesidad urgente.





Casi todo el mundo tiene una cuenta de correo electrónico, cuentas en redes sociales y banca electrónica. La gente hace compras online y usa el Internet móvil para identificarse (por ejemplo, las soluciones de verificación en dos pasos). Por desgracia, ninguno de estos sistemas es completamente seguro.
Cuanto más interactuamos online, mayor es el objetivo para los hackers; los especialistas de seguridad lo llaman “superficie de ataque”. Cuanto más grande es la superficie, más fácil es atacar. Si echas un vistazo a estas tres historias de los últimos tres años, entenderás perfectamente cómo funciona.

Cómo robar una cuenta: ¿un hackeo o una simple llamada telefónica?

Una de las herramientas más poderosas utilizadas por los hackers es el “hackeo humano” o ingeniería social. El 26 de febrero de 2016, el editor de Fusion, Kevin Roose, decidió comprobar lo poderoso que es. La hacker e ingeniera social, Jessica Clark, y el experto en seguridad, Dan Tentler, aceptaron su desafío.

Jessica prometió hackear el correo electrónico de Kevin con una llamada telefónica, y lo cumplió. Primero, su equipo creó un perfil de 13 páginas de largo que cubría una descripción del perfil de Roose, que hablaba sobre lo que le gusta y lo que no, etc. Todos los datos utilizados fueron recogidos mediante fuentes públicas.

Después de haberlo preparado, Jessica duplicó el número de móvil de Kevin y llamó a su compañía telefónica. Para añadir tensión a la situación, puso de fondo un vídeo de bebés llorando.

Jessica se presentó como la mujer de Roose. Según su historia, ella y su “marido” iban a solicitar un préstamo, pero la joven y agotada madre había olvidado el correo electrónico que utilizaban juntos. Con los bebés llorando de fondo, Jessica persuadió rápidamente al servicio de soporte para reiniciar la contraseña del correo electrónico y consiguió el acceso total al correo objetivo.

Dan Tentler consiguió llevar a cabo su tarea mediante el uso de phishing. Primero, descubrió que Kevin tenía un blog en Squarespace y le envió un falso correo electrónico oficial desde la plataforma del blog. En él, los administradores de Squarspace pedían a los usuarios que actualizaran el certificado SSL para mejorar su “seguridad”. En vez de protegerle, este archivo permitió a Tentler el acceso al PC de Kevin. Dan creó varios pop-ups falsos que pedían a Roose que introdujera sus credenciales específicas, consiguiendo así su objetivo.

Tentler consiguió acceder a los datos bancarios de Kevin, a sus credenciales de inicio de sesión en su correo electrónico y en tiendas online, además de a los datos de su tarjeta de crédito y su número de la seguridad social. Asimismo, Dan consiguió fotos de Roose y de su pantalla, tomadas cada dos minutos durante las 48 horas de hackeo.


¿Cómo robar a un ingeniero de software en una noche? 

 
En la primavera de 2015, el creador de software Partap Davis, perdió 3.000 dólares. En cuestión de pocas horas, durante una noche, un hacker consiguió acceder a sus dos cuentas de correo electrónico, su número de teléfono y su cuenta de Twitter. El criminal burló inteligentemente el sistema de verificación en dos pasos y vació la cartera de Bitcoin de Partap. Como podrás imaginar, a la mañana siguiente Davis se encontró con una desagradable sorpresa.

Es importante mencionar que Patrap Davis es un usuario experto en Internet: siempre elige contraseñas fuertes y nunca hace clic en enlaces maliciosos. Su correo electrónico está protegido con el sistema de verificación en dos pasos de Google, por lo que, cuando inicia sesión en un ordenador nuevo, tiene que introducir los seis dígitos enviados a su teléfono móvil.
  Davis guardaba sus ahorros en tres carteras de Bitcoin protegidas con otro servicio de verificación en dos pasos, proporcionado por la aplicación móvil de Authy. Aunque Davis utilizó todas estas medidas razonables de seguridad, no se salvó de un ataque dirigido.

Después del incidente, Davis se enfadó mucho y pasó varias semanas buscando al criminal. También contactó y reclutó a editores de The Verge para esta misión. Todos juntos lograron descubrir cómo se hizo el hackeo.

Como correo principal, Davis utilizaba la dirección de Patrap@mail.com. Todos los e-mails fueron reenviados a una dirección de Gmail más difícil de recordar (ya que Patrap@gmail.com ya estaba siendo utilizada).

Durante varios meses, cualquiera que quisiera podía comprar un script especial en Hackforum, permitiendo al dueño explotar una vulnerabilidad en la página de restablecimiento de contraseña de Mail.com. Al parecer, este script fue utilizado para burlar la verificación en dos pasos y cambiar la contraseña de David.

Después de eso, el hacker solicitó una nueva contraseña de la cuenta de AT&T de Davis y luego pidió al servicio al cliente que desviaran las llamadas entrantes de Davis a un número de Long Beach. El servicio de soporte recibió un e-mail de confirmación y aceptó darle el control de las llamadas al criminal. Con esta poderosa herramienta, no fue difícil burlar al servicio de verificación en dos pasos de Google y obtener acceso a la cuenta de Gmail de Davis.

Ya que los SMS se seguían enviando al antiguo número de móvil de Davis, el hacker utilizó la función de accesibilidad para gente con problemas de visión. Esta le permitía leer el código de confirmación en voz alta a través del teléfono. Así que, la cuenta de Gmail fue hackeada y solo la app de Authy se interponía entre el hacker y su recompensa.

Para superar este obstáculo, el criminal simplemente reestableció la app en su teléfono utilizando una dirección de mail.com y un nuevo código de confirmación, recibido, una vez más, a través de una llamada. Cuando prácticamente todas las medidas de seguridad estaban en sus manos, el hacker cambió las contraseñas de una de las carteras de Bitcoin de Davis con el uso de Authy y la dirección de mail.com, transfiriendo todo el dinero.

El dinero de las otras dos cuentas quedó intacto, gracias a queuno de los servicios no permitía sacar dinero después de 48 horas de que se reestableciera la contraseña. La otra cuenta solicitó el escaneo del carné de conducir de Davis, al que el hacker no tenía acceso.

Un trol amenazador arruina vidas reales

Tal como se publicó en el periódico Fusion en octubre 2015, la destrucción de la vida de la familia Strater comenzó con una pizza. Hace muchos años todas las cafeterías y restaurantes locales llenaron sus terrazas de pizzas, tartas y comida de todo tipo. Paul y Amy Strater tuvieron que cancelar el pedido, disculpándose.

Justo después llegaron los ramos de flores, acompañados de grandes cantidades de arena y grava, remolques y otros bienes y servicios no solicitados. Todo esto resultó ser solo la punta del iceberg, ya que les esperaban tres años de una verdadera pesadilla.

Paul Strater, un ingeniero senior en radiodifusión en un canal local de TV, y su esposa Amy Strater, ex administradora de un hospital, fueron víctimas de un hacker o un grupo de hackers desconocidos que no se llevaban bien con su hijo Blair. Las autoridades recibieron amenazas de bomba enviadas a su nombre. Los hackers utilizaron la cuenta de Amy para publicar el plan de ataque a un colegio. La nota principal incluía el siguiente titular: “Voy a acabar con tu escuela”. La policía terminó haciendo frecuentes visitas a su casa, lo que no mejoró su relación con los vecinos, que intentaban adivinar lo que estaba pasando.

Los criminales, incluso lograron hackear la cuenta oficial de Tesla Motors y publicaron un mensaje que alentaba a los fans a llamar a los Strater para recibir un coche Tesla de forma gratuita. Los Strater pasaron el fin de semana pegados al teléfono, ya que Amy y Blair recibían casi cinco llamadas por minuto de fans de Tesla que querían adquirir un coche en “promoción”. Un hombre incluso visitó la casa de los Strater y les pidió que abrieran la puerta del garaje, sospechando que escondían su Tesla gratuito.


Fuente.
https://blog.kaspersky.es/ominous-targeted-hacks/8084/


0 comentarios :

Publicar un comentario en la entrada

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.