Alguien podría fácilmente tomar el control de su cuenta de PayPal y robarle dinero si no tiene cuidado. Aquí le mostramos cómo mantenerse a salvo de un ataque simple pero efectivo.
Me ha fascinado la idea de poder entrar en un banco desde que comenzó mi amor por las películas de robos de bancos en la década de 1990, y creo que finalmente descubrí una manera de hacerlo, bueno, más o menos. La seguridad de las aplicaciones bancarias típicas me impresiona inmensamente, y con mi sombrero de seguridad puesto, todavía no he pensado en una forma de eludir las medidas integradas generalmente robustas diseñadas para proteger el dinero de los clientes de los bancos, que es completamente la forma en que debería ser. Sin embargo, si los bancos son tan seguros, me preguntaba si podría haber una forma de atacar a uno de los terceros más populares que a menudo ya tienen acceso total a los fondos de las personas: PayPal.
Para poner las cosas en perspectiva, en los últimos 18 meses he demostrado con éxito lo fácil que es secuestrar un Whatsapp or Snapchat cuenta sin la seguridad adecuada establecida en las cuentas. Esto me dejó preguntándome si debería subir la apuesta e intentar obtener el control de una cuenta financiera usando tácticas similares. Resulta que, con solo el simple arte de "navegar por los hombros", su cuenta de PayPal podría verse comprometida y podría perder miles de dólares.
Los ataques de ingeniería social son cada vez más comunes y su popularidad aumenta entre las bandas criminales. Por otro lado, es difícil experimentar adecuadamente con alguien en condiciones de prueba simplemente porque las "víctimas" son conscientes del vector de ataque propuesto y esto arroja inmediatamente la prueba por la ventana sin probar su viabilidad. Sin embargo, encontré una manera de tomar posesión de la cuenta de PayPal de alguien y probarlo en un experimento legítimo y legal; aún más importante, también aprenderá cómo evitar este ataque en su cuenta.
Para demostrar esta última prueba de concepto, no elegí apuntar a cualquiera: quería probar completamente mi hipótesis en alguien que probablemente detectaría lo que estaba pasando, especialmente cuando había dinero de por medio. Es por eso que elegí apuntar a un amigo (llamémoslo Dave) que ha estado en la industria de la seguridad durante más de 20 años. De hecho, Dave es un gurú cuando se trata de seguridad informática y muy pocos las estafas pasan por sus ojos sin que él se dé cuenta de lo que está pasando. Perfecto.
Que comience el experimento
Recientemente arreglé una reunión con Dave y algunos amigos más a quienes solo había visto un puñado de veces en los últimos 18 meses. Le pregunté a Dave si aceptaría desempeñar un papel fundamental en un pequeño truco. En nombre de la conciencia de seguridad cibernética y la mejora de la prevención del fraude, accedió a permitirme probar cualquier cosa en su cuenta siempre que comprara el almuerzo. ¡Sin embargo, no especificó qué cuenta bancaria usar!
Mientras estaba en un restaurante, Dave colocó su teléfono sobre la mesa y estaba hablando con algunos de nosotros alrededor de la mesa. Traje mi computadora portátil conmigo y, mientras tanto, abrí el sitio web de PayPal y fui directamente a la sección favorita de un hacker: la página de contraseña olvidada.
Conozco la dirección de correo electrónico personal de Dave y supuse que también la usa para PayPal. En un ataque genuino, el pirata informático necesitaría conocer la dirección de correo electrónico del objetivo, pero en estos días, las direcciones de correo electrónico de muchas personas se pueden encontrar mediante unas pocas búsquedas. Google, LinkedIn e incluso Instagram pueden mostrar su dirección de correo electrónico, que es todo lo que se necesita para iniciar este ataque contra cualquier usuario de PayPal.
Luego, PayPal solicita enviar una "comprobación de seguridad rápida" a través de una variedad de medios. En mi investigación, esto podría ser a través de un mensaje de texto, un correo electrónico, una llamada telefónica, una aplicación de autenticación, ¡incluso un WhatsApp! Algunas personas incluso tienen la opción de verificar la seguridad a través de preguntas de seguridad, que sin duda son tan antiguas como la cuenta. Y si, como lo hizo el mío, estos podrían incluir respuestas que son extremadamente fáciles de encontrar. No tenía idea de que todavía tenía estos como una opción y en ninguna configuración pude encontrar dónde eliminar algunas formas de control de seguridad. De vuelta con Dave y el único control de seguridad que tenía en oferta era a través de un mensaje de texto, que es el de interés por ahora.
Con Dave todavía hablando con colegas en la sala de reuniones, hice clic en "Siguiente", lo que envió un código de seis dígitos a su teléfono de inmediato.
Me incliné hacia el teléfono de Dave y, sin que él se diera cuenta, toqué la pantalla para activarlo. Como no había deshabilitado las vistas previas de mensajes en la pantalla de bloqueo de su teléfono, vi fácilmente el código y lo ingresé en el campo del código de verificación en el sitio web. ¡Esto era todo lo que necesitaba, y ahora estaba en su cuenta! El sitio web de PayPal me pidió que eligiera una nueva contraseña para su cuenta y la cambié por una que acababa de crear mi generador de contraseñas.
Ahí estaba yo, mirando el tablero de PayPal de Dave y todas las tarjetas asociadas con su cuenta. ¡Realmente me sentí como si hubiera entrado en un banco! Estuve mirando todas las opciones y sus tarjetas bancarias vinculadas. Podría haber vinculado fácilmente un banco o una tarjeta de crédito o incluso haber mirado sus datos personales, como la dirección de su casa. Podría haber cambiado la dirección de correo electrónico de su cuenta, su dirección o su nombre, pero para probar realmente este ataque hice clic en "enviar dinero". Aunque podría haber enviado hasta £ 10,000 (tuve la tentación e incluso lo ingresé), elegí enviar solo £ 10 a mi propia cuenta de PayPal; recuerde que él lo autorizó y prometí reembolsarle cualquier dinero. eso fue movido!
En el momento en que hice clic en "enviar dinero ahora", el teléfono de Dave recibió un correo electrónico que confirmaba que el dinero acababa de transferirse de su cuenta y aquí es donde se detuvo cuando lo leyó en su Apple Watch. Pero yo estaba en casa y seco. Había movido el dinero y le pregunté si podía comprarle el almuerzo. Su rostro indicaba que no estaba impresionado.
Entonces, para recapitular, en este punto, podría haber enviado £ 10,000 a cualquiera de los 300 millones de cuentas de PayPal en el mundo con solo ver un código en el teléfono de alguien. Esto no tiene sentido para mí y la gente claramente necesita ser consciente de este simple ataque. El listón que uno tiene que saltar para comprometer una cuenta de esta manera parece estar demasiado bajo, especialmente cuando se compara la seguridad con la de un banco en línea típico, pero se ha demostrado que funciona con un daño potencial considerable.
Puede inclinarse a pensar que Dave simplemente debería haber desactivado las vistas previas de notificaciones en su teléfono. Sin embargo, como he demostrado en mi ataque "Snaphack", aún es posible leer dichos mensajes cuando las víctimas simplemente usan sus teléfonos, como cuando envían mensajes a las personas. A menudo desconocen el modus operandi y simplemente ignoran estas notificaciones/advertencias. Cuando probé el experimento de PayPal en un teléfono Android, descubrí que la vista previa del mensaje de texto estaba habilitada de forma predeterminada y que un área resaltada del mensaje seleccionaba el código de confirmación para que yo lo viera aún más rápido.
¿FaceID habría ayudado?
Otro hallazgo en mi pirateo de la cuenta de Dave fue la gota que colmó el vaso. En el pasado, había visto a Dave abrir su iPhone usando FaceID, incluso con una máscara facial. Esta fue una función de Apple Watch introducida en abril de 2021 con iOS 14.5 para omitir FaceID y yo rápidamente Encontré un medio para moverse En ese tiempo. Probé esto en el teléfono de Dave y, como sospechaba, funcionó con facilidad usando mi propia cara y oscurecido por una máscara facial. Aunque recibió una notificación en su Apple Watch para decir que había desbloqueado su iPhone, esto sería todo lo que se necesitaría para desbloquear una vista previa de texto. Esto seguramente sería tiempo suficiente para leer un código de confirmación y comenzar el ataque.
pérdida de teléfono
Esto me hizo pensar en el robo de teléfonos. Dado que los teléfonos están repletos de encriptación resistente, anteriormente había asumido que los teléfonos no valían mucho en el mercado negro y eran relativamente inútiles sin un seguimiento de ingeniería social para obtener la contraseña de restablecimiento de Apple o Google. Sin embargo, ahora estoy pensando que el teléfono de cualquier persona está en riesgo si los atacantes saben su dirección de correo electrónico una vez que la roban en un tren, por ejemplo. Una simple navegación de hombro o una investigación ligera en Internet podría obtener esta información con bastante rapidez y luego, junto con lo que he descubierto, existe una gran cantidad de daño que podría desarrollarse.
Preguntas de seguridad
PayPal todavía ofrece preguntas de seguridad y, por lo que encontré, no pude eliminarlas, solo cambiar las respuestas. de PayPal página de configuración de seguridad Establece que "Para su protección, elija 2 preguntas de seguridad. De esta manera, podemos verificar que realmente eres tú si alguna vez hay alguna duda”. Pero eludir tales preguntas de seguridad suele ser extremadamente fácil dentro del mundo de la ingeniería social y la cantidad de datos disponibles sobre muchos de nosotros en las redes sociales, por lo que parece una locura que debería estar disponible para obtener acceso a una aplicación de finanzas.
Entonces, ¿por qué es tan fácil?
Los bancos continuamente dificultan que los piratas informáticos exploten sus sistemas y, a menudo, se actualizan sin nuestro conocimiento, manteniendo nuestras cuentas seguras. Pero si usamos PayPal como forma de pago asignada a apps como Uber o eBay, que está constantemente ligada a nuestras tarjetas de crédito y cuentas bancarias, ¿no es este el eslabón más débil de la cadena?
Sin querer culpar a PayPal, creo que hay muchas técnicas de prevención que puedes aplicar de inmediato a partir de esta historia. Esto de ninguna manera es culpa de PayPal, pero demuestra otra solución que los actores de amenazas intentarán abusar, y por lo que siempre debemos estar alerta.
Métodos de prevención
- No confíes en Autenticación multifactor basada en SMS; siempre que sea posible, use una aplicación de autenticación o una clave de seguridad en su lugar
- Nunca ignore un código de confirmación. Si recibe uno cuando no lo esperaba, es probable que haya algo que deba investigarse.
- Nunca dejes tu teléfono desatendido
- Ocultar vistas previas de todos los mensajes de texto SMS y otras notificaciones de aplicaciones
- Si pierde su teléfono o si se lo roban, comuníquese inmediatamente con su proveedor de telefonía para bloquear la tarjeta SIM. Luego use 'Find My' de Apple o 'Find My Device' de Google para ubicar el teléfono y colocarlo en modo perdido.
- Use una dirección de correo electrónico separada para PayPal, una que otros no puedan adivinar
- Desactive o cambie sus respuestas de seguridad de PayPal por contraseñas aleatorias que no estén relacionadas con la pregunta y guárdelas en su administrador de contraseñas.
- Elimine la opción que permite que FaceID funcione con un Apple Watch mientras usa una máscara facial
Por supuesto, le pedí una respuesta a PayPal, así que déjame dejarte con lo que dijo su representante: “He revisado el documento que ha compartido de su parte. Sin embargo, tenga en cuenta que hemos educado a nuestros usuarios para que no compartan el código de seguridad que recibieron de PayPal con nadie”.
