Gemini presenta estrategias y soluciones antiphishing en la conferencia BSidesSF
Gemini presenta estrategias y soluciones antiphishing en la conferencia BSidesSF
En una completa presentación en la conferencia de seguridad BSidesSF, el analista de seguridad de Gemini Rick Ramgattie profundizó en los métodos que emplea la empresa para combatir las estafas de phishing.
His talk, «Hook, Line & Tinker: Una Inmersión en Sitios de Empresas de Phishing» (YouTube), destacó las tácticas avanzadas utilizadas para identificar y desarticular a los actores maliciosos que tienen como objetivo a los titulares de criptomonedas.
Según la entrada del blog de la bolsa las estafas de phishing, en particular los ataques Adversary in the Middle (AiTM), suponen amenazas significativas para la seguridad. Los ataques AiTM implican a actores maliciosos que utilizan proxies inversos. Este método les permite eludir la autenticación multifactor (MFA) y obtener acceso no autorizado a información sensible.
Ramgattie describió un caso en el que un sitio de phishing capturó credenciales de usuario y códigos 2FA para acceder a las cuentas de las víctimas. Los estafadores utilizaron herramientas de automatización como 2Captcha para resolver rápidamente los CAPTCHA, poniendo de manifiesto las limitaciones de las defensas anti automatización tradicionales.
Para contrarrestar estas amenazas, Gemini ha implantado rigurosas medidas de seguridad. Al descubrir que los atacantes cambiaban las direcciones de correo electrónico de las víctimas para acceder a los enlaces de validación, Ramgattie ideó una solución que exigía acceder a la bandeja de entrada del correo electrónico actual antes de poder realizar cualquier cambio. De este modo, se evitaron nuevas violaciones al garantizar que los atacantes no pudieran acceder a los enlaces de verificación enviados a las direcciones de correo electrónico originales.
Además, el equipo de seguridad de Gemini emplea técnicas de caza de amenazas para identificar sitios de phishing. Al analizar las solicitudes de back-end de los portales de phishing, Ramgattie descubrió que los atacantes solían revelar su infraestructura cuando redirigían a las víctimas a sitios legítimos.
En un caso, identificó más de 200 sitios de phishing configurados para robar las credenciales de los usuarios, que luego eran recopiladas y enviadas por correo electrónico a los atacantes. Este descubrimiento subrayó la importancia de una configuración y supervisión diligentes de los servidores.
En otro ejemplo, los usuarios de Gemini fueron objeto de una campaña de phishing por correo electrónico en la que se afirmaba que recibirían cripto activos mediante airdrop. Los usuarios que hacían clic en el botón «proceder ahora» eran redirigidos a una página de destino falsa que se asemejaba a la página de inicio de Gemini, donde se les pedía que se conectaran a una cartera Web3, lo que en última instancia conducía al robo de sus activos.
Afortunadamente, la función de notificación de MetaMask permitió bloquear rápidamente los dominios de phishing, ofreciendo una solución más rápida que la notificación tradicional a los proveedores de alojamiento.
A medida que evolucionan las técnicas de phishing, Gemini mantiene su compromiso de mejorar sus protocolos de seguridad para proteger a sus usuarios. El enfoque proactivo de la bolsa, que combina la caza de amenazas con medidas de seguridad avanzadas, sirve de referencia para el sector de las criptomonedas.
Véase también: Atari se asocia con Coinbase para llevar Asteroids y Breakout a blockchain
