En el mundo digital, sólo se necesita un clic para obtener las claves del reino.

¿Sabias que el spear-phishing fue la única arma secreta detrás de la mayor brecha de datos en la historia de internet?

Se conoció que uno de los empleados de Yahoo cayó víctima de un simple ataque de phishing e hizo click en un enlace equivocado que permitió a los hackers ganar privilegios en las redes internas de la compañía.

Normalmente estamos familiarizados con los ataques de phishing (un intento de robar credenciales de usuario o datos financieros), mientras que Spear-phishing es una forma específica de phishing en la que los atacantes engañan a los empleados o proveedores para proporcionar credenciales de acceso remoto o abrir un archivo adjunto malicioso que contiene una vulnerabilidad O carga útil.

Se pudo demostrar cómo la filtración masiva de los datos de Yahoo fue un simple error humano. Pero quiénes eran los cerebros detrás de este hackeo?.

El miércoles, el gobierno de Estados Unidos acusó a dos espías rusos (Dmitry Dokuchaev e Igor Sushchin) y dos hackers criminales (Alexsey Belan y Karim Baratov) en relación con el hack de Yahoo 2014 que comprometió cerca de 500 millones de cuentas de usuario de Yahoo.

Mientras que la acusación proporcionó detalles sobre el hack de Yahoo de 2014, los funcionarios del FBI recientemente dieron una nueva visión de cómo los dos oficiales del Servicio Federal de Seguridad de Rusia (FSB) contrataron a dos hackers para obtener acceso inicial a Yahoo a principios de 2014.

Cronología de cómo inició el hackeo a Yahoo:

El hack comenzó con un correo electrónico “Spear Phishing” enviado a un empleado “semi-privilegiado” de Yahoo y no a los altos ejecutivos de la compañía a principios de 2014.

Aunque no está claro cuántos empleados de Yahoo fueron alcanzados por el ataque y cuántos correos electrónicos fueron enviados por los hackers, sólo se necesita un empleado que haga click en un archivo adjunto o un vínculo malicioso, lo que dio a los atacantes acceso directo a las redes internas de Yahoo.

Una vez que entró, Alexsey Belan, que ya está en la lista de los hackers más buscados del FBI, empezó a investigar la red y, según el FBI, descubrió dos activos clave:

– Yahoo’s User Database (UDB) – una base de datos que contiene información personal sobre todos los usuarios de Yahoo.
– La herramienta de administración de cuentas: una herramienta administrativa utilizada para editar la base de datos.

Belan utilizó el protocolo de transferencia de archivos (FTP) para descargar la base de datos de Yahoo, conteniendo nombres de usuario, números de teléfono, preguntas y respuestas de seguridad y, lo que es peor, mensajes de recuperación de contraseña y un valor criptográfico único para cada cuenta de Yahoo.

Los correos electrónicos de recuperación y los valores criptográficos únicos permitieron a Belan y su compañero hacker Baratov acceder a las cuentas de ciertos usuarios solicitados por los espías rusos Dokuchaev y Sushchin.

Dado que la herramienta de administración de cuentas no permitía búsquedas sencillas de nombres de usuario, los hackers comenzaron a identificar objetivos basándose en su dirección de correo electrónico de recuperación.

Una vez identificados, los hackers utilizaron valores criptográficos robados llamados “nonces” para generar cookies de acceso forzado para cuentas de usuario específicas, dando a los agentes FSB y Belan acceso a las cuentas de correo electrónico de los usuarios sin necesidad de ninguna contraseña.

Según el FBI, esas cookies se generaron muchas veces entre 2015 y 2016 para acceder a “más de 6.500 cuentas de Yahoo”, de los cerca de 500 millones de cuentas.

Las víctimas apuntadas por los espías rusos:

Según la acusación, entre otros webmail extranjeros y proveedores de servicios relacionados con Internet, los espías rusos accedieron a las cuentas de Yahoo pertenecientes a:

–Asistente del vicepresidente de Rusia.
–Un oficial en el Ministerio de Asuntos Internos de Rusia.
–Un entrenador que trabaja en el Ministerio de Deportes de Rusia.
–Periodistas rusos.
–Funcionarios de los estados fronterizos con Rusia.
–Trabajadores del gobierno de los Estados Unidos.
–Un empleado de una compañía de cartera Swiss Bitcoin.
–Un trabajador de la aerolínea estadounidense.

El agente especial del FBI, John Bennett, dijo en una conferencia de prensa que Yahoo primero se acercó a la oficina en 2014, en relación con el hackeo y fueron “grandes socios” durante su investigación.

Sin embargo, a la empresa le tomó dos años la publicación (realizada en diciembre de 2016) con detalles de la violación de datos y recien le recomendó a cientos de millones de sus clientes a cambiar sus contraseñas, demasiado tarde para poder que los usuarios cambiaran sus credenciales, sin poder hasta el dia de hoy determinar el verdadero alcance del daño ocacionado a los usuarios.

Dejar respuesta

Please enter your comment!
Please enter your name here