Usuarios argentinos de Payoneer reportaron el vaciamiento de sus cuentas desde este fin de semana. La plataforma es una popular app de pagos online que permite enviar y recibir dinero en varias monedas, razón por la cual es muy usada por quienes cobran por trabajos afuera y es popular entre trabajadores freelance.
El segundo factor de autenticación por SMS, el peor de todos por consenso unánime en la comunidad de ciberseguridad, fue el protagonista de esta semana: hubo un aluvión de vaciamiento de cuentas de Payoneer fue reportado por usuarios en Argentina.
El caso arrancó en un sub de Reddit del fin de semana, pero empezó a tomar grosor cerca del miércoles, cuando empezó a tener peso en Twitter (X) y otro posteo advertía, ya en español, sobre la situación.
El tipo de ataque que sufrieron está relacionado al segundo factor de autenticación vía mensajes de texto (SMS), esto es, el sistema que tienen las aplicaciones para verificar la identidad de los usuarios. Según reportaron, los damnificados empezaron a recibir SMS con códigos de verificación y notificaciones de pagos y, al querer entrar a sus cuentas, tenían las contraseñas cambiadas. Luego de recuperar el acceso, veían sus saldos en cero.
Las primeras versiones comenzaron a circular el fin de semana, cuando usuarios de la red social Reddit armaron un sub (posteo) en el que reportaban que sus fondos habían sido vaciados. Los comentarios comenzaron a aparecer y el mensaje original comenzó a circular a medida que iban apareciendo nuevos casos.
El segundo denominador común que reportaron los usuarios afectados es que tienen Movistar o Tuenti, ambas compañías de Telefónica, aunque hubo reportes de usuarios que tenían otras empresas.
Movistar emitió un comunicado en el que aseguran que la empresa "tomó conocimiento por publicaciones en redes sociales de que clientes de la compañía que poseen cuentas en la plataforma Payoneer habrían sido estafados a través de la recepción de SMS que, mediante maniobras de smishing, capturaron sus credenciales". SMiShing es, básicamente, phishing vía SMS.
"En este sentido, informamos que Movistar no es responsable de los mensajes (ni de su contenido) que terceros cursen utilizando su red. No obstante lo anterior, hemos tomado medidas preventivas con aquellos números desde los cuales algunos clientes han reportado haber recibido dichas comunicaciones", cerró la compañía, propiedad de Telefónica.
El segundo factor de autenticación (2FA) es un paso extra de seguridad que se usa en la validación de identidad online. En general, se trata de combinar algo que el usuario sabe (una contraseña, un pin, un patrón), con algo que tiene o es: un token, un teléfono celular para aprobar de manera exitosa el logueo, su pulgar o cara o, como sucedió en este caso, el envío de un SMS a una línea telefónica.
En el caso de las cuentas vaciadas, los usuarios recibieron diversos SMS llamativos: desde pagos recibidos desde la plataforma Airbnb hasta códigos de verificación que nunca especificaban si eran para restablecer una contraseña o para autorizar una nueva transacción, lo cual es confuso desde el diseño de la experiencia de usuario de la app. Los mensajes venían del número 80066.
Más allá de esto, el principal problema de Payoneer es que permite este tipo de segundo factor cuando, en el mundo de la ciberseguridad y de las empresas tech, es sabido que es el más débil que existe. El tipo de ciberataque más común es el SIM Swapping, donde un atacante intercambia la tarjeta SIM legítima del usuario por otra y, cuando la pone en otro teléfono, puede recibir un SMS para resetear una contraseña y así tomar control de la cuenta (account takeover).
Sin embargo, no fue esto lo que pasó en este caso. Todos los usuarios pudieron volver a entrar a sus cuentas tras resetear su clave. Y aseguran no haber entrado en ningún link extraño como para haber sido víctimas de phishing o SMiShing.
Y, además, hay un dato clave: para restablecer una contraseña, Payoneer no pide confirmación por mail, sino simplemente el código de verificación que envían por SMS, lo que la hace todavía más vulnerable al ahorrarle un paso al atacante. Lo que sí reportaron muchos usuarios fue recibir mensajes de SMiShing, a pesar de que aseguran que no cayeron en la trampa.
Payoneer, empresa con sede en Nueva York, no contestó preguntas puntuales al ser consultados por este medio, pero sí compartieron un comunicado: "Tenemos conocimiento de casos recientes en los que estafadores engañaron a los clientes a través de mensajes SMS para que hagan clic en enlaces a páginas de phishing y faciliten las credenciales de sus cuentas. Algunos clientes hicieron clic en estas páginas falsas y compartieron los datos de acceso a sus cuentas con los estafadores". La mayoría de los afectados insiste, de todos modos , en que no hizo clic en sitios fraudulentos.
"Nos tomamos el fraude muy en serio y colaboramos estrechamente con los organismos reguladores y las fuerzas de seguridad para combatir la delincuencia financiera", cerró Payoneer vía correo electrónico.
Las hipótesis del ataque
A pesar de que tanto en Reddit como en la comunidad de ciberseguridad local especularon sobre distintas causas, lo cierto es que la reconstrucción exacta del ataque todavía no se conoce (lo que se conoce en el ambiente como hacer ingeniería inversa).
En la red social circula la información de una base de datos de Movistar filtrada y especulaban con que esa pudiera ser la causa del leak, aunque algunos investigadores cruzaron información entre esa base de datos y el incidente y no encontraron evidencia.
Lo que sí se pudo confirmar es que había una campaña activa de SMiShing que apuntaba a Payoneer alojada en el mencionado dominio "alertaspayoneer.com" que ya está dado de baja. Incluso en el código fuente de ese sitio podía verse que apuntaba hacia un "peticiones.php", en español. Y, a su vez, los dominios que listaba la campaña estaban relacionados a entidades bancarias argentinas.
"La plata fue transferida a otra cuenta payoneer, creo que fue el mismo caso para todos, esta era gwqa42 @ 163.com", explicó un usuario en Discord, donde los afectados abrieron un servidor específico para ordenar la discusión.
De acuerdo a Julio Lopez (aka julitolopez), el procedimiento fue el siguiente:
- El atacante comprometió el SMS gateway usado para enviar el 2FA a los clientes de Movistar (plataformas que se utilizan para ahorrar costos)
- El atacante veía pasar los mensajes de 2FA desde Payoneer hacia un numero de teléfono de Movistar pero tenía el problema de no saber el mail del usuario de Payoneer para cambiarle la contraseña y hacer las transacciones.
- El atacante para descubrir que mail había detrás de cada teléfono creo un sitio de Phishing/SMShing para tratar de conocer solo el correo. Luego, con este email mail, el número de teléfono y el 2FA (obtenido del SMS del gateway) podía acceder en tiempo real a la cuenta y cambiar la contraseña del usuario.
- Es por eso que las víctimas vieron varios SMS reales con 2FA venir durante la noche que les vaciaron la cuenta.
- Si los clientes de Payoneer sólo hubiesen caído en el phishing, solo le hubieran robado el 2FA, y no a todos los datos que necesitan para entrar, agregar una cuenta y transferir fondos.
- Esta necesidad hace evidente el compromiso del gateway SMS.
Qué hacer si se tiene plata en Payoneer
Al día viernes de esta semana, lo concreto es que la cadena exacta del ataque no está explicada de manera clara ni por Payoneer, ni Movistar ni los usuarios: son todas hipótesis, pero porque hay varios elementos en juego y un rompecabezas que espera ser armado.
Pudo haber sido una base de datos filtrada, a partir de la cual el o los atacantes aprovecharon el 2FA por SMS, un phishing dirigido -aunque los usuarios niegan haber caído en la trampa-, o que, simplemente, debido a que Payoneer no solicita contraseña para cambiar clave, el atacante haya conseguido código de verificación para poder entrar y ejecutar las transacciones. Esto se sabrá luego de la investigación, debido a que armar el rompecabezas de todos los elementos que hacen a un ataque es algo que puede llevar tiempo.
La recomendación general es retirar o bloquear (vía email) el dinero de Payoneer, por lo menos hasta que se conozcan más detalles de qué sucedió y a cuántos pueda afectar. Si se decide dejar el dinero, intentar desactivar el segundo factor por SMS (muchos reportaron no tener la opción) y, además, cambiar el mail asociado a la cuenta o la línea telefónica. En caso de detectar movimientos extraños, elevar un reclamo a través del soporte técnico de la aplicación.
A nivel global, entidades como el Instituto Nacional de Estándares y Tecnología (NIST) recomiendan no usar SMS como segundo factor de autenticación. A nivel local, en el mundo bancario, este tipo de métodos se usa cada vez menos porque es sabido que son inseguros.
Actualización 23/01: Payoneer acaba de publicar un comunicado con lo que ellos entienden que es la verdad de lo sucedido. Por supuesto responsabilizan a los clientes y según ellos no son responsables del uso de un método inseguro de SMS como 2FA.
Fuente: Juan Brodersen | Clarin