Estas tarjetas SIM ilícitas facilitan hackeos como el de Twitter

La próxima vez que suene su teléfono y el ID de llamadas indique que es su banco, compañía de telecomunicaciones o el departamento de TI de su empleador, podría ser otra persona.

Esto se debe a que los tipos de tarjetas SIM poco conocidos ofrecen la posibilidad de falsificar cualquier número, pueden cifrarse y, en algunos casos, permiten alterar y ocultar la voz del usuario. Estas tarjetas SIM sonfavorecido por los criminales... y pueden hacer que ataques de ingeniería social como los que afectaron a Twitter el mes pasado sean más fáciles de ejecutar.

Una tarjeta SIM (Módulo de Identidad del Suscriptor) es esencialmente lo que almacena información sobre el usuario de un teléfono, incluido el país, el proveedor de servicios y una idea única que lo relaciona con su propietario.

Aunque falsificar un número de teléfono es un truco antiguo, estas tarjetas SIM ofrecen una forma simplificada de hacerlo. Ponen de relieve la amplia gama de vulnerabilidades que enfrentan empresas y particulares al intentar protegerse de ataques de ingeniería social.

Twitter fue elvíctima de un ataque de phishing telefónico, en el que una persona que se hace pasar por alguien de la empresa (a menudo supuestamente del departamento de TI) llama a un empleado real para extraerle información. Ese ataque, que provocó la toma de control de 130 cuentas, incluidas las de figuras destacadas como ELON Musk y Kanye West, para estafar a sus seguidores con un valor de 120.000 dólares. Bitcoin, ha generado mayor atención sobre esta práctica. Herramientas como estas tarjetas SIM son una forma en que los atacantes intentan adelantarse a las empresas sospechosas.

Ver también:' Cripto Instagram' se está convirtiendo en algo común, con estafas y todo

“Otras empresas podrían ser un blanco más fácil para estas mismas técnicas”, afirmó Allison Nixon, directora de investigación de Unit221B, una firma de ciberseguridad. “Y simplemente no estarán preparadas de la misma manera que lo han estado las empresas de telecomunicaciones, que han sufrido varias derrotas”.

De hecho, desde el hackeo de Twitter, ha habido...según se informa Se ha producido un aumento de ataques de phishing entre empresas, individuos y bolsas de Criptomonedas .

SIM blancas

Las tarjetas se conocen como SIM blancas, debido a su color y falta de marca.

“Las tarjetas SIM blancas facilitan enormemente las llamadas salientes falsas”, afirmó Hartej Sawhney, director de la agencia de ciberseguridad Zokyo. “Son ilegales prácticamente en todas partes”.

Dada la amplia gama de servicios que ofrecen las tarjetas SIM, facilitan un poco la ingeniería social, y a veces eso es todo lo que necesita un atacante. Las tarjetas SIM generalmente se pueden comprar enDark Web o sitios relacionados, usando Bitcoin.

La ingeniería social a menudo se basa en que un atacante engañe a alguien para que haga algo que no debería. Puede parecer tan simple como un ataque de phishing, pero también puede implicar métodos más elaborados, como el intercambio de SIM, la suplantación de voz o largas conversaciones telefónicas, todo para obtener acceso a la información o los datos de alguien.

Ver también:Estudiante condenado a 10 años de cárcel por robo de Cripto por intercambio de tarjetas SIM por un valor de 7,5 millones de dólares

Durante años, la comunidad de Criptomonedas ha sido la objetivo de los intercambios de SIM, un subtipo de ingeniería social. Consiste en que un atacante engaña a un empleado de una empresa de telecomunicaciones para que transfiera el número de la víctima a su dispositivo, lo que le permite eludir la autenticación de dos factores y acceder a una cuenta de Exchange o a un perfil en redes sociales.

“Las llamadas falsas son una falla en la capa de protocolo y no se pueden solucionar de la noche a la mañana. Requieren, básicamente, reescribir internet”, dijo Sawhney. “Lo interesante es que el 99 % de los empleados de telecomunicaciones tienen acceso a todas las cuentas de los clientes, lo que significa que solo es necesario aplicar ingeniería social a una de ellas”.

Estas tarjetas SIM presentan desafíos para quienes trabajan para protegerse contra la ingeniería social, incluidos los bancos y otras instituciones financieras.

Un negocio como cualquier otro

Los atacantes de ingeniería social eligen sus objetivos sopesando el dinero, el tiempo y el esfuerzo necesarios para engañarlos frente a los resultados, dijo Paul Walsh, director ejecutivo de la empresa de ciberseguridad MetaCert.

“Es más fácil, económico y rápido comprometer a una persona mediante ingeniería social que intentar aprovecharse de una computadora o red informática”, dijo Walsh. “Así que, desde su punto de vista, cualquier herramienta o proceso como este que les agilice y facilite esa tarea es obviamente positivo”.

La capacidad de imitar un número de teléfono específico es lo que hace peligrosas a estas tarjetas SIM. Por ejemplo, quienes envían llamadas no deseadas a menudo falsifican su número para que parezca que llaman desde un...número en el área local del destinatarioPero estas tarjetas SIM permiten a un atacante falsificar un número específico, lo que aumenta la probabilidad de que alguien conteste el teléfono.

Ver también:Un nuevo truco ultrasónico puede explotar tu Siri

Una persona con una tarjeta SIM que suplanta el número podría imitar fácilmente el número de Bank of America, por ejemplo, dijo Walsh, lo que aumenta la probabilidad de que la gente comparta información personal confidencial. Si el número aparece como el de Bank of America, ¿por qué habría de pensar lo contrario inmediatamente?

Walsh también dijo que muchos sistemas detectarán automáticamente el número desde el que estás llamando y lo usarán como información para verificar tu identidad.

“Así que llamas a tu banco y, si puedes confirmarlo con tu número de teléfono y quizás ONE otro dato, obtienes acceso a todo tipo de información, como tu saldo bancario y tu última transacción”, dijo Walsh. “Esa información por sí sola podría ser útil en el contexto de la ingeniería social, ya que llamas al banco sin la información adicional necesaria para atacar a alguien y la obtienes a través del banco”.

La tecnología que imita la voz está en camino

Lo que preocupa a Haseeb Awan, director ejecutivo de Efani, una empresa que trabaja específicamente para protegerse contra el hackeo de tarjetas SIM, es la forma en que estas tarjetas podrían usarse con otras tecnologías, como la suplantación de voz. La Tecnología que permite recrear la voz de alguien es... fácilmente disponible en línea...y las voces de las personas pueden reconstruirse a partir de unos pocos fragmentos de discurso.

"Si puedes replicar la voz de cualquier persona y combinarla con su número de teléfono, eso es lo que más me preocupa", dijo Awan. "Muchas empresas ahora usan la voz como método de autenticación, así que aquí es donde el riesgo de fraude se vuelve realmente alto".

Ver también:Hackers norcoreanos intensifican sus esfuerzos para robar Cripto en medio de la pandemia de coronavirus

Y aunque la mayoría de la gente podría pensar que podría detectar si la voz de alguien está alterada o suena extraña, Awan, quien nació en Pakistán pero reside en Estados Unidos, se QUICK a señalar que la tecnología se ha vuelto tan avanzada que la ha visto capaz de replicar su acento. De hecho, un estudio Descubrimos que nuestros cerebros no logran diferenciar bien una voz falsa de una ONE, incluso cuando nos dicen que será falsa.

A diferencia de las SIM blancas, casi universalmente ilegales, las SIM anónimas cifradas que también alteran la voz en tiempo real se pueden comprar fácilmente y sin autorización. Por ejemplo, la empresa británica...Sims seguros,que no respondió a una Request de comentarios al cierre de esta edición, ofrece a la venta ONE que desactiva su ubicación y encripta datos, entre una variedad de otras características.

Está a la venta por £600-£1,000 ($794-$1,322).