Cibercriminales controlan las cuentas online hackeando los servicios de buzón de voz

Total
0
Shares

Se ha desarrollado un ataque exploit “fragmento de software utilizada aprovechar vulnerabilidad de seguridad de un sistema de información para conseguir un comportamiento no deseado” para hackear conocidos servicios online.

Los especialistas en ciberseguridad del Instituto Internacional de Seguridad Cibernética, los sistemas de buzón de voz (voicemailing)son altamente vulnerables a los ataques de fuerza bruta contra su principal medida de seguridad, los cuatro dígitos del número de identificación personal (PIN) que poseen.

Según los informes de múltiples expertos, un cibercriminal podría acceder a un sistema de correo de voz para tomar control de servicios como WhatsApp, LinkedIn, Netflix o PayPal.

El experto en ciberseguridad y seguridad de móviles Martin Vigo presentó recientemente una investigación en la que afirma que el PIN que protege estos servicios de voicemailing es mucho más fácil de descifrar que una contraseña tradicional, lo que puede conducir al hackeo de cuentas de diferentes servicios.

“Las llamadas telefónicas automatizadas son usadas comúnmente para usar funciones como restablecimiento de contraseñas, verificación de cuentas, entre otras. Un hacker podría comprometer estas funciones, explotando algunas antiguas debilidades de programación con herramientas actualizadas e intervenir en el correo de voz de un usuario”.

El experto en ciberseguridad recurrió al uso de algunas técnicas sencillas de hackeo de llamadas telefónicas, esta vez aplicadas al hackeo de un servicio de voicemailing. Una vez que un servicio ha sido comprometido, los hackers pueden comenzar a escuchar los mensajes que la víctima que utiliza para restablecer una contraseña. Los hackers incluso podrían inferir el PIN del usuario si éste lo teclea en su dispositivo.

Martin Vigo escribió una secuencia de comandos automatizada capaz de vulnerar la mayoría de los PIN de cuatro dígitos utilizados por los sistemas voicemailing sin el conocimiento de las víctimas.

El investigador publicó el código de su prueba de concepto de su Voicemailcracker en GitHub (omitiendo la función de fuerza bruta), esperando ayudar para la corrección de esta clase de puntos débiles.

Al llevar a cabo la demostración, Martin Vigo demostró cómo un sistema voicemailing funciona igual con la función de fuerza bruta activada, comprobando que podía acceder a servicios como PayPal o WhatsApp, que cuentan con un sistema de verificación de PIN.

Voicemailcracker usa Twilio, un servicio de Voice Over Internet Protocol que permite administrar las llamadas telefónicas mediante programación. Voicemailcracker lanza cientos de llamadas telefónicas al mismo tiempo para interactuar con los sistemas voicemailing y usar fuerza bruta contra el PIN, todo esto sin el conocimiento de la víctima”, concluyó el experto.

El experto en ciberseguridad también reveló otras posibles vías de ataques a los teléfonos de los usuarios, como una backdoor “puerta trasera” al sistema de voicemailing, con lo que se supone que se elimina la necesidad de realizar las llamadas , eliminando el paso anterior, este tipo de ataque al teléfono de la victima requiere de una mínima interacción de la víctima para poderse llevar a acabo.

Esto nos avisa de que no podemos bajar la guardia cuando se nos pide realizar ciertas funciones cuando recibimos llamadas de desconocidos sea vía telefónica o nos piden nuestro teléfono móvil para realizar una llamada por parte de algún desconocido.

 

2 comentarios
  1. Pues no entiendo muy bien el sistema ni como funciona….. ¿Quieres decir que el sistema simula la voz del usuario para tratar de identificarse mediante pin en el sistema de voicemailing, de forma que si un dígito no funciona prueba con el siguiente y así sucesivamente? Hombre por fuerza bruta podría hacerse, son solo 999 combinaciones, sobre todo si hace varios cientas de llamadas a la vez pero:
    a) En la mayoría de casos imagino solo se podrá un intento por cuenta ya que tras varios la cuenta por seguridad se bloquearía.
    b) Entiendo que en todos esos servicios al cambiar la contraseña se avisará al usuario mediante un correo electrónico del cambio, con lo que si recibes el aviso podrías inmediatamente reestablecer la contraseña original.

    1. Saludos.
      Realmente no se como se desarrollará ese tipo de ataques , tampoco quería profundizar en el tema ya que apenas tengo tiempo y la gente sin conocimientos profundos de hacking sobre smartphone se sentirían perdidos , incluso a mi me resulta muy complicado entenderlo.

      Vi la noticia de un activista hacking ético y me pareció interesante de compartirlo , intente traducirlo lo mejor posible.

      Si quieres resolver tus dudas de como se realiza el ataque aquí te paso el enlace del autor.
      Post donde se explica como se desarrolla el ataque.
      https://www.martinvigo.com/voicemailcracker/#more-718

Deja un comentario
También puede interesarte