Al intentar recuperar el acceso a su cuenta de Kraken, es posible que se le pida que participe en una videollamada con un agente de soporte para demostrar que realmente es quien dice ser.

El mes pasado, el exchange centralizado dijo que atrapó a alguien con una máscara de goma al estilo de Halloween intentando engañar al trabajador al otro lado de la llamada, pero no funcionó.

El atacante había planteado una serie de señales de alerta durante la primera ronda de comprobaciones, como no nombrar los activos que tenía la cuenta. Estas marcas hacían que el agente que trabajaba en el caso solicitara una videollamada para conceder acceso a la cuenta. Durante la llamada, el trabajador de Kraken hizo algunas preguntas más y verificó la identificación de la persona.

El atacante falló en esta etapa, de manera dramática.

«Nuestro agente dijo: ‘Esto es absolutamente ridículo’. Esta es una máscara de goma que el tipo está usando», dijo el jefe de seguridad de Kraken, Nick Percoco, a Decrypt.

https://twitter.com/c7five/status/1846147268044378127

La máscara ni siquiera se parecía a la persona que el atacante afirmaba ser, dijo Percoco. La víctima era un hombre caucásico de unos 50 años, por lo que a Percoco le pareció que el atacante simplemente agarró una máscara que se ajustaba vagamente a la descripción.

Y esta no es la primera vez que alguien se pone un disfraz en un intento de engañar a Kraken.

«Vemos cosas, de vez en cuando, en las que la gente se pone un bigote falso», dijo a Decrypt. «Muestran [identificación] y se ve cerca porque usan anteojos del mismo estilo, tienen bigote y tienen el cabello rubio. Lo vemos de vez en cuando. Nunca pasan».

«Pero esta es la primera vez», añadió, «que alguien ha ido a la tienda de disfraces a comprar una mascarilla».

Para empeorar las cosas, el atacante ni siquiera tenía una identificación creíble. Fue «claramente» retocado con Photoshop e impreso en cartulina, explicó Percoco, aunque con la información correcta.

Si bien este no fue un ataque sofisticado, destaca que incluso los estafadores descuidados pueden obtener acceso a la información privada de la gente común. Incluso con un intento tan poco pulido, cree Percoco, los atacantes podrían tener éxito.

«Creo que debe [funcionar]», dijo a Decrypt. «Creo que las personas que se disfrazan, las personas que irrumpen en otro lugar y obtienen una copia de su identificación del gobierno, y luego la imprimen en papel satinado, sosteniéndola… Para algunos intercambios, eso probablemente funcione».

Afirmó que algunos exchanges no tienen el mismo nivel de atención al detalle que Kraken exige a su equipo. Percoco señala específicamente a las empresas que externalizan su soporte, afirmando que es más probable que esto conduzca a errores.

Si está en lo cierto, entonces esto significa que aquellos que usan exchanges centralizados no siempre deben confiar en la empresa para defenderse de los malos actores. Para protegerse, dice Percoco, los usuarios deben implementar la autenticación de dos factores «en todas partes», desde su correo electrónico hasta mucho más allá, para evitar que los malos actores obtengan información personal a toda costa.

Incluso con estos métodos de protección empleados, un usuario puede caer en estafas de phishing. Para obtener el máximo nivel de seguridad, recomienda usar FIDO2 y claves de acceso, que son claves de hardware que pueden convertir su teléfono o computadora portátil en la contraseña de una cuenta.

«Las claves de acceso están vinculadas criptográficamente a los sitios y las aplicaciones con las que los está utilizando», dijo, «por lo que no puede ser engañado para que piense que está iniciando sesión en Kraken».

Pagina Original:

Scammer Tried to Hijack Kraken Crypto Account Wearing Rubber Mask of Victim