2FA

All posts tagged 2FA

YouTube-hacked-1.png

23 millones de YouTubers en peligro tras hackeo ‘masivo’

YouTubers de alto perfil han sido blanco de cibercriminales durante el fin de semana en lo que parece haber sido un ataque altamente coordinado y «masivo». La advertencia de seguridad fue hecha por Catalin Cimpanu, un reportero de ZDNet, que habló con un miembro de OGUsers, un foro de Internet con un historial de acceso comercial a cuentas hackeadas. Esto es lo que sabemos hasta ahora y lo que debes hacer para proteger tu propia cuenta de YouTube.

¿Qué cuentas de YouTube han sido hackeadas?

Según la investigación de ZDNet, muchas cuentas pertenecientes a conocidos YouTubers dentro de la comunidad automovilística han sido secuestradas. Sin embargo, parece que el ataque en sí se ha dirigido principalmente a «influencers» en muchos géneros de canales de YouTube. Entre los que acudieron a Twitter para quejarse de que sus cuentas de YouTube fueron hackeadas y se perdió el acceso a sus canales, se encontraban YouTubers que cubrían tecnología, música, juegos y Disney. Sin embargo, con más de 23 millones de canales de YouTube, cualquiera que cree contenido debería prestar atención a esta advertencia.

¿Cómo hackearon las cuentas de YouTube?

La investigación de Cimpanu apunta claramente hacia una campaña de phishing coordinada. Habiendo hablado con un miembro de un foro de Internet en el que se sabe que los secuestradores de cuentas en línea chatean, Cimpanu pudo determinar que probablemente se trataba de una campaña altamente dirigida, o «spear phishing«, en lugar de una operación de rociar y rezar. El miembro del foro le dijo a ZDNet que, como resultado, alguien había conseguido una «base de datos realmente buena» y que «estaban ganando mucho dinero«.

La metodología de ataque parecería ser nada fuera de lo común, la verdad sea dicha.

Los correos electrónicos se envían a las personas para que sean seleccionados desde la lista de influenciadores de YouTuber, atrayéndolos a una página de inicio de sesión falsa de Google. Esto se utiliza para recolectar sus credenciales de cuenta de Google que luego le dan acceso al atacante a las cuentas de YouTube. Luego se transfieren a un nuevo propietario y se cambia la URL personalizada. El propietario real de ese canal y aquellos que se suscriben a él se quedan pensando que la cuenta ha sido eliminada.

Según el informe de ZDNet, al menos algunas de las cuentas que fueron hackeadas con éxito habían estado utilizando autenticación de dos factores (2FA) para protección adicional. Esto sugiere que los atacantes estaban utilizando un kit de herramientas de proxy inverso, como el popular paquete de phishing Modlishka, para interceptar códigos 2FA enviados mediante SMS.

¿Cómo puedes proteger mejor tu cuenta de YouTube?

Me puse en contacto con James Houghton, CEO de la plataforma de capacitación de concientización de seguridad Phishing Tackle, quien dice que se trata de un «ataque extremadamente impresionante y coordinado, que potencialmente utiliza la intercepción basada en el hombre en el medio o el proxy inverso» para la captura en tiempo real de códigos de autenticación de dos factores. Todo esto suena muy sofisticado y de alta tecnología, pero «la vulnerabilidad aquí sigue siendo la humana«, dice Houghton, «este ataque se basa en un clic individual y después de un clic antes de verificar los conceptos básicos«. Houghton dice que el problema se debe principalmente a una «falta de conocimiento sobre qué buscar en un correo electrónico de phishing y, por el contrario, qué buscar en un correo electrónico legítimo«.

Estos correos electrónicos de phishing generalmente se construyen bien y «pueden parecer genuinos a primera vista, incluso para el ojo entrenado«, dice Jake Moore, especialista en ciberseguridad de ESET. «Señales reveladoras, como el enlace que se muestra en el cuerpo del correo electrónico o incluso cuestionar por qué lo han enviado en primer lugar, deberían ser suficientes para pausar sus acciones«, dice Moore.

Luego está la página de inicio de sesión de Google clonada en la que el enlace habría aterrizado. La URL de esta página reflejada no se «miró con suficiente vigilancia«, dice Houghton, ya que esto podría ofuscarse de alguna manera y no de la misma manera que la página original de la cuenta de Google. Solía ​​ser el caso de que la falta de un certificado HTTPS para un sitio, indicado por el candado verde o similar en la barra de direcciones del navegador, sería suficiente para hacer sonar las alarmas. Ese no es el caso ahora, y «la eliminación de la información de Validación Extendida (EV) en la barra de direcciones«, dice Houghton, hace que sea mucho más difícil de detectar. No, por supuesto, que un sitio con un certificado SSL sea una garantía de validez; solo significa que el propietario del sitio ha protegido el canal de comunicaciones entre el navegador y el sitio web, nada más.

A pesar de que 2FA aparentemente ha sido burlado por al menos algunos de estos ataques a la cuenta de YouTube; Jake Moore dice que aún es esencial que «todas las cuentas que poseas utilicen 2FA«. Sin embargo, esto debería «idealmente ser una aplicación de autenticación en lugar de un código enviado por SMS«, dice Moore

“No hemos visto evidencia de un aumento en los intentos de piratería durante el fin de semana. Nos tomamos muy en serio la seguridad de las cuentas y notificamos regularmente a los usuarios cuando detectamos actividades sospechosas. Alentamos a los usuarios a habilitar la autenticación de dos factores como parte de la verificación de seguridad de la cuenta de Google, lo que disminuye el riesgo de hackeo. Si un usuario tiene razones para creer que su cuenta se vio comprometida, puede notificar a nuestro equipo para asegurar la cuenta y recuperar el control. «

Un portavoz de YouTube.

Este artículo es una transcripción de: https://www.forbes.com/sites/daveywinder/2019/09/23/youtube-security-warning-issued-for-23-million-creators-as-massive-hack-attack-confirmed/#54ffe8926b4f

leer más
Editorial23 millones de YouTubers en peligro tras hackeo ‘masivo’

9 Consejos Para Mantenerte Seguro en Internet (Edición Google)

La necesidad de crear productos con sólidas protecciones de seguridad en su núcleo para detectar y proteger de manera continua y automática a usted y sus datos de una amplia gama de amenazas no ha sido mayor. Este Día de Internet más seguro, también queremos brindarte consejos simples para una experiencia en línea más segura.

Aquí están los mejores consejos de ciberseguridad para todos los usuarios …

1. Asegura tu teléfono

Si eres un usuario de Android, el lugar más seguro para descargar aplicaciones es desde la tienda Google Play. Integrado en dispositivos con Google Play, Google Play Protect protege su teléfono 24/7. Escanea más de 50 mil millones de aplicaciones cada día, identificando aplicaciones potencialmente dañinas y manteniéndolas alejadas de su dispositivo o eliminándolas.

Si bien Google Play Protect es la manta de seguridad ideal para su dispositivo móvil, también hay pasos que puede tomar para garantizar que su dispositivo sea seguro. Mantenga su pantalla bloqueada con una contraseña única [patrón / pin]. Y si agrega su cuenta de Google en su dispositivo, podrá encontrar si se pierde o es robado.

Simplemente Googlea «android find my phone» o visita android.com/find para ubicar, timbrar, bloquear y borrar tus dispositivos Android: teléfonos, tabletas e incluso relojes.

2. Asegura tus datos

Es importante mantener tu información segura y privada, por lo que Google ha incorporado características de seguridad y privacidad en todos sus productos.

Por ejemplo, Google te notifica cuando ha otorgado acceso a sitios o aplicaciones de terceros. Es realmente importante que entiendas la información que compartes con estas aplicaciones o sitios.

 Así que mientras tomas el café de la mañana, dedica un minuto a hojear los permisos de la aplicación en tu teléfono y elige la configuración adecuada para ti.

Una comprobación rápida en tu teléfono te indicará exactamente qué acceso, incluido el Calendario, Cámara, Contactos, Ubicación, Micrófono, etc., has compartido con aplicaciones de terceros.

3. Asegura tu cuenta

Al igual que en el mundo físico en el que te realizas un chequeo médico regular, ¿sabías que puedes hacer un chequeo médico de tu cuenta de Google?

El chequeo de seguridad te brinda recomendaciones de seguridad personalizadas y procesables que te ayudan a fortalecer la seguridad de tu cuenta de Google.

Tomar el Chequeo de seguridad no solo lo ayuda a mantenerse más seguro mientras usa los servicios de Google, también incluye consejos útiles para mantenerlo más seguro en la web, como recordándole que agregue un bloqueo de pantalla a su teléfono móvil, revisando el acceso de terceros a los datos de su cuenta de Google, y le muestra en qué sitios y aplicaciones puede haber iniciado sesión con su cuenta de Google.

4. Usa contraseñas únicas

Utilizar la misma contraseña para iniciar sesión en varias cuentas aumenta tu riesgo de seguridad.

Es como si usaras la misma llave para abrir tu casa, automóvil y oficina: si alguien obtiene acceso a una llave, todos los lugares podrían verse comprometidos. Crea una contraseña única para cada cuenta para eliminar este riesgo y mantener tus cuentas más seguras. Junto con la creación de contraseñas únicas, asegúrate de que cada contraseña sea difícil de adivinar y, mejor aún, de al menos ocho caracteres.

Considera usar un administrador de contraseñas, como el integrado en el navegador Chrome, para ayudarte a crear, salvaguardar y hacer un seguimiento de todas las contraseñas de tus cuentas en línea.

5. Usa la verificación de dos pasos

Ve un paso más allá para proteger tus cuentas configurando la verificación de 2 pasos, que puede ayudar a mantener alejados a los malos, incluso si lograron obtener tu contraseña.

La verificación en 2 pasos requiere algo que sepas (tu contraseña) y algo que tengas (tu teléfono) para poder iniciar sesión en tu cuenta.

La configuración de la verificación en dos pasos reducirá significativamente la posibilidad de que alguien obtenga acceso no autorizado a tus cuentas. Una vez que configures la verificación de 2 pasos para una cuenta, recuerda estar listo para el segundo paso de verificación cada vez que inicies sesión.

Podrás elegir que te envíen códigos SMS al teléfono o podrás descargar la aplicación Authenticator que puede generar códigos de verificación incluso si tu dispositivo no tiene conectividad de datos o teléfono.

Aunque puede parecer complicado, tener la seguridad de que tus cuentas y tu vida online está segura, no tiene precio.

6. Mantén tu software actualizado

Para ayudar a proteger tu actividad en línea, siempre ejecuta la última versión del software en todos los navegadores web, sistemas operativos y aplicaciones en todos los dispositivos que utilices. Algunos servicios, incluido el navegador Chrome, se actualizarán automáticamente. Otros servicios pueden notificarte cuando sea el momento de actualizar.

7. Comprueba el cifrado de un sitio

Presta mucha atención cuando se te pida que inicies sesión en línea. Verifica si la dirección web comienza con https: //, que indica que su conexión con el sitio web está cifrada y es más resistente a la indagación o la manipulación.

8. Mantente siempre alerta

Por lo general, el phishing se realiza a través de correo electrónico, anuncios o sitios que se parecen a los sitios que ya usas. No respondas a correos electrónicos sospechosos, mensajes instantáneos o ventanas emergentes que soliciten información personal, como contraseñas, números de cuentas bancarias o tarjetas de crédito, o incluso tu fecha de nacimiento.

Incluso si el mensaje proviene de un sitio en el que confías, como tu banco, nunca hagas clic en el enlace ni envíes un mensaje de respuesta. Es mejor ir directamente al sitio web o aplicación para iniciar sesión en la cuenta. Recuerda que los sitios y servicios legítimos no enviarán mensajes solicitando que envíes contraseñas, o información financiera por correo electrónico.

9. Comparte este artículo

Si conoces a alguien que pueda estar en riesgo o que no ha tenido los cuidados suficientes, te invito a que compartas este artículo. Mándaselo a tus papás, hermanos, tíos, sobrinos, hijos, familiares, amigos y conocidos. Les será de gran ayuda y evitará que haya mas víctimas de los cibercrímenes.

leer más
Isaul Carballar9 Consejos Para Mantenerte Seguro en Internet (Edición Google)

Hacker de estrellas de Hollywood era maestro de secundaria

Cómo un ex profesor en Virginia hackeó las redes sociales y correos electrónicos de celebridades, compañeros de trabajo y familiares

Hacker de famosas desnudas

  • El hacker era conocido por hackear y publicar fotos desnudas de las celebridades
  • Hacker era un ex-profesor de secundaria de 30 años
  • Hacker también atacó a estudiantes y profesores

Un ex profesor de secundaria se declara culpable de hackear las cuentas de celebridades y robar fotografías desnudas y otra información privada.

Christopher Brannan, de 30 años, quien daba clases en la secundaria Lee-Davis High School en el condado de Hanover, Virginia, (EEUU) fue acusado en abril de robo de identidad y acceso no autorizado a sistemas informáticos.

El caso, también conocido como ‘Celebgate’ estuvo vigente durante agosto de 2013 y octubre de 2014. En dicho periodo, Brannan se dedicó a hackear cuentas de Yahoo, Apple iCloud y Facebook tras adivinar las respuestas a las preguntas de seguridad de las celebridades.

El hacker utilizó información obtenida de las mismas cuentas de redes sociales de las estrellas para responder a las preguntas de seguridad.

Además, Brannan también admitió que había falsificado las contraseñas enviando correos electrónicos apócrifos pretendiendo ser del equipo de seguridad de Apple.

De acuerdo con documentos judiciales, Brannan también admitió haber ingresado o intentado hackear las cuentas de profesores y estudiantes actuales y anteriores en la escuela secundaria donde trabajaba.

Aunque por motivos de privacidad es poco probable que los nombres de las celebridades afectadas se den a conocer. Muchas de las fotografías de las famosas desnudas fueron publicadas en su momento en diversos medios de celebridades.

Llama la atención del caso la forma poco sofisticada en la que se llevó a cabo el hackeo de cuentas. El maestro sólo tuvo que investigar las publicaciones en redes sociales de dichas celebridades para obtener respuesta a las preguntas como:

  • ¿Quién era tu amigo favorito en la infancia?
  • ¿Cuál es el nombre de tu ciudad favorita?
  • ¿Cuál era tu materia favorita en la escuela?

¿Cómo evitar ser hackeado?

Las formas para reducir tus posibilidades de ser hackeado son usando un administrador de contraseñas y activando autenticación de dos factores (2FA).

Aunque evitar ser hackeado es casi imposible, hay dos formas que reducirán drásticamente las posibilidades de que seas hackeado.

Existen muchas guías para evitar ser hackeado, prácticamente para cada red social existe una guía. Pero la regla de oro es «Nunca des información confidencial real, a no ser que sea estricta o legalmente necesario».

Hemos escrito sobre cómo generar una contraseña segura. Ahora te explicaré como hacer para responder a las preguntas secretas.

Cuando una red social o sitio te pide responder una pregunta secreta para poder recuperar tu contraseña, procura dar una respuesta que no sea real, o incluso dar una respuesta que no tenga sentido. De esta modo garantizas que sea más difícil que te puedan hackear. Además, te aseguras que en caso de que tus datos sean publicados debido a un hackeo masivo, tus los mismos no serán reales, lo que reducirá tus posibilidades de ser víctima de «ingeniería social».

Evidentemente dar una respuesta diferente, o inventada implica que tendrías que memorizar la respuesta de todo tipo de preguntas por cada tipo de cuenta. Pero la solución para esto es usar un administrador de contraseñas que te permita llevar este control.

Mucho se ha hablado sobre la poca efectividad de estas herramientas, pero al momento son la única solución más viable para eliminar o reducir tus posibilidades de ser hackeado.

Además de usar un administrador de contraseñas, es recomendable usar 2FA, también conocido como «Autenticación de 2 factores».

Es probable que ya uses 2FA, sin necesariamente saber como se llama. 2FA se refiere básicamente a integrar un smartphone u otro dispositivo con tu cuenta, de modo que además de pedirte una contraseña, se te solicite un código proporcionado por un segundo dispositivo. Facebook, Gmail, Apple, Outlook y muchos otros servicios y sitios web ya cuentan con él por lo que deberías utilizarlo siempre que sea posible.

Si bien es casi imposible tener una ciberseguridad al 100%, aumentar las defensas usando un administrador de contraseñas y activando 2FA te convertirá en un objetivo menos vulnerable y atractivo para los hackers.

 

Referencias:

https://www.grahamcluley.com/naked-photo-hacker/#comment-371749

https://wtvr.com/2018/10/17/how-a-former-hanover-county-teacher-hacked-the-emails-of-celebrities-coworkers-and-family-members/

leer más
Isaul CarballarHacker de estrellas de Hollywood era maestro de secundaria