El centro de seguridad de Microsoft ha publicado un nuevo informe que aborda una forma creciente de ataque virtual: el “secuestro” de cuentas que aún no han sido creadas por las víctimas en servicios en línea.
Según el estudio, este tipo de estafa es cada vez más frecuente y se aprovecha de las redes sociales y otros servicios que permiten crear cuentas previamente a partir de unos pocos datos personales, como una dirección de correo electrónico, y finalizar el registro más adelante.
Como resultado, los ciberdelincuentes pueden acceder a los perfiles aunque la contraseña elegida por la víctima sea segura o tome precauciones básicas de privacidad. El grupo analizó 75 páginas de servicios en línea y descubrió que al menos 35 de ellas eran vulnerables a este tipo de estafa.
La anatomía de un golpe de estado
Los expertos de Microsoft denominan a este esquema “pre-hijacking“, ya que implica tomar posesión de una cuenta antes incluso de que exista.
Hay varias formas de robar datos en este caso, desde esperar con una sesión activa hasta que el usuario real se conecte, hasta utilizar un correo electrónico ya comprometido para “fusionar” registros, dando acceso tanto al delincuente como a la víctima.
Las fases de la estafa: registro previo, finalización del registro y robo de la cuenta.Fuente: Microsoft
Una vez en posesión de la cuenta, los delincuentes pueden cambiar la contraseña y bloquear el perfil del usuario original, utilizando la cuenta para robos de identidad, estafas bancarias y otros fraudes. El estudio completo puede consultarse en este enlace.
Según Microsoft, el uso de mecanismos de autenticación de dos factores y mejores mecanismos para fusionar cuentas o cambiar contraseñas debería ser una prioridad para los servicios digitales.
Vía Tecmundo
