Los clientes de Amazon informan que les cobraron pedidos extraños sin su conocimiento, a pesar de que su cuenta estaba protegida por autenticación de dos factores. Los piratas informáticos parecen haber logrado romper la seguridad de la doble autenticación y pretender ser vendedores falsos para robar mejor su dinero.
Varios usuarios de Amazon que se quejan de pedidos extraños realizados sin su conocimiento mientras su cuenta estaba protegida por doble autenticación. Este mecanismo de seguridad significa que se requiere un código adicional de un solo uso para iniciar sesión. Este código se puede crear mediante un generador, ya sea a través de una aplicación en el teléfono inteligente del usuario, o mediante un código recibido por SMS.
Amazon: los clientes ven que aparecen pedidos extraños en su historial
Una vez conectados, los piratas piden una cantidad de varios cientos de euros a vendedores falsos e inmediatamente establecen el estado del pedido en "Entregado", lo que impide cualquier reembolso. El objetivo, como habrás entendido, no es recibir el producto, lo que implicaría proporcionar una dirección distinta a la del titular de la cuenta, sino extorsionar. Las cuentas de vendedor afirman tener su sede en China.
Dan la apariencia de cuentas genuinas aunque los artículos que se supone que venden regularmente desaparecen del catálogo. Parece que operan en varios idiomas y por lo tanto en muchos países. Las víctimas dicen que desde entonces cambiaron sus contraseñas y recibieron un reembolso de Amazon. Queda una gran pregunta: ¿cómo lograron eludir la doble autenticación del sitio de Amazon?
Por el momento, la plataforma realmente no proporciona una explicación. Sin embargo, al ir a las páginas de ayuda de Amazon, nos dimos cuenta de que el sitio en realidad ofrece dos métodos de autenticación de dos factores. Uno a través de un generador de códigos instalado en su teléfono inteligente, el otro a través de un código recibido por SMS. Amazon también anima a sus clientes a introducir su número de teléfono para utilizar la doble autenticación mediante código recibido por SMS en caso de que el generador ya no funcione.
Las cuentas de Amazon parecen vulnerables al intercambio de SIM
“Para habilitar la verificación en dos pasos, debe agregar un número de teléfono secundario para que tenga una opción alternativa para recibir el código de seguridad en caso de que ya no tenga acceso a su dispositivo móvil principal”, explica Amazon. Por supuesto, es imposible decir tal como están las técnicas que estos piratas realmente usaron para hacer estos pedidos; probablemente sería necesaria una investigación exhaustiva para averiguarlo.
más ya sabemos desde hace algún tiempo que no todas las autenticaciones de dos factores son iguales. Los códigos recibidos por SMS, en particular, representan un enorme agujero de seguridad. Ya os hablamos hace un tiempo de la preocupante técnica del SIM Swapping: consiste en que un pirata se hace pasar por cliente de un operador para obtener una copia de su tarjeta SIM.
Lea también: Facebook: la autenticación de dos factores hace que su número de teléfono sea público
Luego, el atacante puede recibir estos códigos de un solo uso e iniciar sesión cuando lo desee en las cuentas de su víctima que usan autenticación de dos factores. ¿Has habilitado la autenticación de dos factores en Amazon? ¿Alguna vez has notado que aparecen comandos extraños en tu historial? ¡Comparta sus comentarios en la sección de comentarios de este artículo!