Cuando intenta recuperar el acceso a su Kraken cuenta, es posible que se le solicite que realice una videollamada con un agente de soporte para demostrar que es quien dice ser.
El mes pasado, el intercambio centralizado dijo que sorprendió a alguien que llevaba una máscara de goma estilo Halloween tratando de engañar al empleado al otro lado de la llamada, pero no funcionó.
El atacante había levantado una serie de señales de alerta durante la primera ronda de controles, como no nombrar los activos de la cuenta. Estos indicadores llevaron al asistente social a solicitar una videollamada para otorgar acceso a la cuenta. Durante la llamada, el empleado de Kraken hizo algunas preguntas más y verificó la identidad de la persona.
El atacante falló dramáticamente en este paso.
“Nuestro agente dijo: Esto es absolutamente ridículo. «Ese tipo lleva una máscara de goma», dijo el jefe de seguridad de Kraken. Nick Percoco dicho Descifrar.
La máscara ni siquiera se parecía a la persona que el atacante decía ser, dijo Percoco. La víctima era un hombre blanco de unos 50 años, por lo que a Percoco le pareció que el atacante simplemente había agarrado una máscara que coincidía vagamente con la descripción.
Y esta no es la primera vez que alguien se disfraza para intentar engañar a Kraken.
«[We] Veo cosas, de vez en cuando, en las que la gente se pone un bigote falso”, dijo. Descifrar. “Ellos muestran [ID] y parece cercano porque usan gafas del mismo estilo, tienen bigote y cabello rubio. Lo vemos de vez en cuando. Nunca lo logran.
“Pero esta es la primera vez”, añadió, “que alguien va a la tienda de disfraces a comprar una máscara”.
Para empeorar las cosas, el atacante ni siquiera tenía una identificación creíble. Fue «claramente» retocado con Photoshop e impreso en cartulina, dijo Percoco, aunque contenía la información correcta.
Si bien no se trata de un ataque sofisticado, pone de relieve que incluso los estafadores descuidados pueden acceder a la información privada de la gente corriente. Según Percoco, incluso con un intento tan descuidado, los atacantes podrían tener éxito.
«Creo que debería [work]» dijo Descifrar. “Creo que las personas disfrazadas, las personas que entran a otro lugar y obtienen una copia de su identificación gubernamental y luego la imprimen en papel satinado, sosteniéndola en alto… para algunos intercambios probablemente funcione«.
Dijo que algunos intercambios no tienen el mismo nivel de atención al detalle que Kraken exige de su equipo. Percoco señala específicamente a las empresas que subcontratan su soporte, diciendo que es más probable que esto dé lugar a errores.
Si tiene razón, eso significa que quienes utilizan intercambios centralizados no siempre deberían confiar en la empresa para defenderse de los malos actores. Para protegerse, dice Percoco, los usuarios deberían implementar autenticación de dos factores “en todas partes” (desde su correo electrónico y más allá) para evitar que los delincuentes obtengan información personal a cualquier costo.
Incluso con estos métodos de protección empleados, un usuario aún puede caer en phishing. Para un nivel óptimo de seguridad, se recomienda utilizar FIDO2 Y claves de accesoque son claves de hardware que pueden convertir su teléfono o computadora portátil en una contraseña para una cuenta.
«Las claves de acceso están vinculadas criptográficamente a los sitios y aplicaciones con los que las usas», dijo, «por lo que no puedes creer que te estás conectando a Kraken».
Editado por Andrew Hayward.
Informe diario Hoja informativa
Comience cada día con las noticias más importantes del día, además de artículos originales, un podcast, videos y más.
