Al intentar recuperar el acceso a su Kraken cuenta, es posible que se le solicite realizar una videollamada con un agente de soporte para demostrar que realmente es quien dice ser.
El mes pasado, el intercambio centralizado dijo que sorprendió a alguien que llevaba una máscara de goma estilo Halloween intentando engañar al trabajador al otro lado de la llamada, pero no funcionó.
El atacante había levantado una serie de señales de alerta durante la primera ronda de controles, como no nombrar los activos que contenía la cuenta. Estas señales hicieron que el agente que trabajaba en el caso requiriera una videollamada para otorgar acceso a la cuenta. Durante la llamada, el trabajador de Kraken hizo algunas preguntas más y verificó la identificación de la persona.
El atacante falló en esta etapa, de manera dramática.
“Nuestro agente dijo: Esto es absolutamente ridículo. Esta es una máscara de goma que lleva el tipo”, director de seguridad de Kraken. Nick Percoco dijo Descifrar.
La máscara ni siquiera se parecía a la persona que el atacante decía ser, dijo Percoco. La víctima era un hombre caucásico de unos 50 años, por lo que a Percoco le pareció que el atacante simplemente agarró una máscara que encajaba vagamente con la descripción.
Y esta no es la primera vez que alguien se disfraza en un intento de engañar a Kraken.
“[We] «Veo cosas, de vez en cuando, en las que la gente se pone un bigote falso», dijo. Descifrar. “Ellos muestran [ID] y se ve parecido porque usan anteojos del mismo estilo, tienen bigote y cabello rubio. Lo vemos de vez en cuando. Nunca pasan”.
“Pero esta es la primera vez”, añadió, “que alguien ha ido a la tienda de disfraces a comprar una máscara”.
Para empeorar las cosas, el atacante ni siquiera tenía una identificación creíble. Fue “claramente” retocado con Photoshop e impreso en cartulina, explicó Percoco, aunque con la información correcta.
Si bien este no fue un ataque sofisticado, resalta que incluso los estafadores descuidados pueden potencialmente obtener acceso a la información privada de la gente común. Incluso con un intento tan poco pulido, cree Percoco, los atacantes podrían tener éxito.
«Creo que debe [work]», dijo Descifrar. «Creo que las personas que usan disfraces, las personas que irrumpen en otro lugar y obtienen una copia de su identificación gubernamental, y luego la imprimen en papel satinado, sosteniéndolo en alto… para algunos intercambios, eso probablemente funcione«.
Afirmó que algunos intercambios no tienen el mismo nivel de atención al detalle que Kraken exige de su equipo. Percoco señala específicamente a las empresas que subcontratan su apoyo, afirmando que es más probable que esto dé lugar a errores.
Si tiene razón, entonces esto significa que quienes utilizan intercambios centralizados no siempre deberían confiar en la empresa para defenderse de los malos actores. Para protegerse, dice Percoco, los usuarios deberían implementar autenticación de dos factores “en todas partes”, desde su correo electrónico hasta mucho más allá, para evitar que los delincuentes obtengan información personal a toda costa.
Incluso con estos métodos de protección empleados, un usuario aún puede caer en estafas de phishing. Para obtener el máximo nivel de seguridad, recomienda utilizar FIDO2 y claves de accesoque son claves de hardware que pueden convertir su teléfono o computadora portátil en su contraseña para una cuenta.
«Las claves de acceso están vinculadas criptográficamente a los sitios y las aplicaciones con las que las estás usando», dijo, «por lo que no te pueden engañar haciéndote creer que estás iniciando sesión en Kraken».
Editado por Andrew Hayward.
Informe diario Hoja informativa
Comience cada día con las noticias más importantes del momento, además de funciones originales, un podcast, videos y más.