Los piratas informáticos se están apoderando de su cuenta de Google a pesar de la protección 2FA
Imágenes SOPA/LightRocket vía Getty Images
Los usuarios desesperados de Gmail y YouTube están recurriendo a foros de soporte oficiales y no oficiales de Google después de que los piratas informáticos se apoderaron de sus cuentas, eludieron la seguridad de autenticación de dos factores y las bloquearon. En múltiples ocasiones, los atacantes parecen estar involucrados en estafas con criptomonedas en las que supuestamente se les da a los encuestados el XRP de Ripple.
13/04 Consulte a continuación para obtener información actualizada. Este artículo se publicó por primera vez el 12 de abril.
Forbes Millones de códigos de seguridad 2FA de Google, WhatsApp y Facebook filtrados en línea Por Davey Winder
Los usuarios de Google acuden en masa a los foros de soporte mientras los piratas informáticos 2FA atacan las cuentas de Gmail y YouTube
Si recorre los diversos foros de soporte para productos de Google como Gmail y YouTube, incluidos los foros oficiales de Google y Reddit, encontrará que siempre hay personas que hacen preguntas desesperadas sobre la recuperación de cuentas. Por lo general, estos están relacionados con problemas como olvidar su contraseña, que le roben el teléfono o cambiar su número de teléfono. Sin embargo, si comienza a ver un patrón de personas que piratean su cuenta y no pueden recuperarla aunque tenga habilitada la 2FA, sabrá que algo anda mal.
“La autenticación de dos factores ha cambiado… La recuperación de la cuenta no funciona y estás atrapado en un bucle”.
“Los piratas informáticos cambiaron contraseñas y números de teléfono, y también editaron la configuración de autenticación de dos factores”.
“No puedo iniciar sesión en mi cuenta autenticada 2FA. El cuadro de contraseña dice que la contraseña se cambió hace 25 horas. Un hacker genio cambió el correo electrónico de recuperación al mismo correo electrónico y también eliminó mi número. No se puede recuperar”.
Además de la cantidad de cuentas que se vieron comprometidas a pesar de contar con protección 2FA, parece haber otro punto en común en forma de estafas que aprovechan la criptomoneda de Ripple Labs, o XRP.
Principales fallos de seguridad descubiertos en los 4 principales correos electrónicos de Forbes: Apple, Gmail, Outlook, Yahoo Davey Winder
Ripple Labs emite alerta de estafa de criptomonedas XRP
Ripple ha contratado a X para dar a conocer el aumento de los ataques a cuentas de Gmail y YouTube que se utilizan para atrapar a lectores y espectadores con diversas estafas. La más común es la llamada estafa de duplicación de criptomonedas, que promete reembolsar el doble de XRP de lo que alguien envía a una cuenta supuestamente genuina administrada por Ripple. Por ejemplo, algunas cuentas de YouTube comprometidas utilizaron videos falsos del director ejecutivo de Ripple Labs, Brad Garlinghouse, para demostrar que eran genuinos.
en Publicación X En un artículo publicado el 11 de abril, Ripple Labs advierte contra pedirle a nadie que transfiera XRP y ofrece consejos a los lectores preocupados sobre cómo evitar estafas con criptomonedas.
Cómo los piratas informáticos eluden la seguridad 2FA
La respuesta a la pregunta “¿Cómo piratean los atacantes la seguridad 2FA?” Simplemente lo evitan por completo. Los usuarios que han sido bloqueados de su cuenta de Google y cuya contraseña y detalles de 2FA han sido cambiados y no pueden volver a iniciar sesión son muy probablemente víctimas de lo que se conoce como un ataque de secuestro de cookies de sesión. Este ataque suele estar dirigido a malware procedente de un correo electrónico de phishing que captura una cookie de sesión diseñada para ayudar a los usuarios a iniciar sesión más rápido o volver al punto donde lo dejaron. El problema es que si un atacante malicioso obtiene estas cookies después de que un usuario inicia sesión exitosamente, básicamente puede reproducirlas y evitar la necesidad de un código 2FA. En lo que respecta al sitio, la autenticación ya fue exitosa y el usuario ya inició sesión. Zak Doffman, colaborador de Forbes, ofrece una descripción general de esta técnica de ataque y algunos de los métodos utilizados para contrarrestarla.
Los correos electrónicos de ForbesSubdo representan una amenaza para las nuevas reglas de seguridad de GmailPor Davey Winder
Google dice que dará a los usuarios 7 días para recuperar cuentas 2FA pirateadas
Me comuniqué con Google sobre el problema del secuestro de cookies de sesión, que la compañía reconoció que es un problema de larga data para la seguridad de las cuentas en Internet. “Hay tecnologías que utilizamos y actualizamos continuamente para detectar y bloquear accesos sospechosos que sugieren una cookie potencialmente robada”, me dijo un portavoz de Google. “Además, estamos impulsando innovaciones como las credenciales de sesión vinculadas al dispositivo”.
Según Google, no todo está perdido para los usuarios a quienes ya se les piratearon sus cuentas y se les cambiaron los factores de recuperación y segundos. “Nuestro proceso automático de recuperación de cuentas permite a los usuarios utilizar sus elementos de recuperación originales hasta siete días después del cambio, si se configuraron antes de que ocurriera el incidente”, dijo el portavoz.
Cuando se trata de higiene general de la seguridad de la cuenta, Google recomienda asegurarse de que su cuenta esté en un estado recuperable para evitar problemas si necesita acceder a ella nuevamente por cualquier motivo. “Seguimos alentando a los usuarios a utilizar herramientas de seguridad como Passkey y Security Checkup de Google para mayor protección”, concluyó el portavoz.
Se confirma el hack de omisión de seguridad 2FA de Forbes que activa nuevas advertencias para Gmail y M365 Por Davey Winder
Actualizado el 13/04: Los usuarios de YouTube deben tener cuidado con algo más que los piratas informáticos fraudulentos que intentan explotar sus criptomonedas. Especialmente si eres un jugador, ten cuidado. De hecho, centrémonos un poco más. Entre los usuarios de YouTube, los jugadores pirateados son los que corren mayor riesgo. Los investigadores de amenazas de Proofpoint analizaron numerosos canales de YouTube que distribuyen malware para robar información y se dirigen a la comunidad de jugadores.
Según investigadores de Proofpoint Emerging Threats, una variedad de malware que roba información se está difundiendo a través de canales de YouTube, disfrazados de videojuegos pirateados y cracks de software relacionados. Ceba la descripción del video y promete a los espectadores consejos sobre cómo descargar videojuegos gratis, pero el enlace en realidad dirige a los usuarios a un sitio que ofrece una carga útil de malware.
Si esto ya parece bastante malo, está a punto de empeorar aún más. “Muchas de las cuentas que albergan vídeos maliciosos parecen haber sido comprometidas u obtenidas de usuarios legítimos”, dicen los investigadores, pero esa no es la peor parte. Las publicaciones parecen estar dirigidas a un público más joven, con enlaces que afirman ser sobre juegos para niños. Esto, dicen los investigadores, hace que este método de distribución en particular sea digno de mención.
El malware de robo de información distribuido de esta manera abarca desde Lumma Stealer, StealC y Vidar. Los investigadores dijeron que también había “múltiples grupos de actividades distintas que distribuyeban malware para robar información a través de YouTube”. Esto significa que esta campaña no puede atribuirse a un actor de amenazas o grupo de delitos cibernéticos específico. Sin embargo, lo que tienen en común es que los métodos técnicos utilizados son similares. Además de pretender ser un juego, los atacantes utilizaron procedimientos similares de desactivación de antivirus y técnicas similares de aumento del tamaño de archivos para eludir las protecciones de seguridad. Lo que los investigadores de Proofpoint pueden decir con certeza es que los atacantes se dirigen persistentemente a los consumidores de YouTube, no a los usuarios empresariales.
Como ejemplo específico, Proofpoint cita una cuenta de YouTube comprometida con 113.000 usuarios y una marca de verificación gris. Casi todos los videos publicados por esta cuenta tenían más de un año y todos los videos y sus descripciones estaban en tailandés. Sin embargo, también se publicaron 12 nuevos videos en inglés en las últimas 24 horas. Estos videos tenían descripciones en inglés, estaban vinculados a sitios maliciosos y trataban sobre cómo descifrar videojuegos. Los investigadores advirtieron a los usuarios de YouTube sobre “intervalos de tiempo importantes entre los videos publicados, contenido que difiere significativamente de los videos publicados anteriormente, diferencias de idioma”, así como enlaces maliciosos en la descripción. Desafortunadamente, para muchas personas esto último es más fácil de decir que de hacer.
Los investigadores de Proofpoint Emerging Threats dijeron que durante su investigación, informaron que más de una docena de cuentas distribuían malware a usuarios de YouTube. YouTube ha eliminado todo el contenido denunciado.
Fuente: https://www.forbes.com/sites/daveywinder/2024/04/13/gmail-and-youtube-hackers-bypass-googles-2fa-account-security/