jorge_kai
02/02/22, 17:30:49
Cada código en su sitio web: El autorrelleno de códigos 2FA por SMS es a prueba de ataques de phishing
https://static.htcmania.com/1366_2000-02022022-24010-htcmania.webp
Leemos en applesfera.com
"En la autenticación de doble factor (2FA) es relativamente común, si no usamos el llavero de iCloud, que recibamos el código a través de un SMS. De ser así nuestro iPhone o iPad es capaz de detectar ese código y ofrecernos autocompletarlo en el sitio o aplicación en el que estamos iniciando sesión de forma automática, una característica que ahora es a prueba de phishing. El autorrelleno de los códigos de doble factor es, sin duda, de gran utilidad. Su uso, sin embargo, puede explotarse en ataques de phishing. ¿Cómo? Un sitio malintencionado puede, haciéndose pasar por otro, solicitar el usuario y la contraseña a un usuario. A posteriori puede pasar este login al sitio real para que el sitio real mande el código por SMS a la víctima. Después de que esta introduzca el código la página malintencionada lo utiliza en el sitio web real y gana acceso completo."
fuente: applesfera.com (https://www.applesfera.com/seguridad/cada-codigo-su-sitio-web-autorrelleno-codigos-2fa-sms-a-prueba-ataques-phishing)
https://static.htcmania.com/1366_2000-02022022-24010-htcmania.webp
Leemos en applesfera.com
"En la autenticación de doble factor (2FA) es relativamente común, si no usamos el llavero de iCloud, que recibamos el código a través de un SMS. De ser así nuestro iPhone o iPad es capaz de detectar ese código y ofrecernos autocompletarlo en el sitio o aplicación en el que estamos iniciando sesión de forma automática, una característica que ahora es a prueba de phishing. El autorrelleno de los códigos de doble factor es, sin duda, de gran utilidad. Su uso, sin embargo, puede explotarse en ataques de phishing. ¿Cómo? Un sitio malintencionado puede, haciéndose pasar por otro, solicitar el usuario y la contraseña a un usuario. A posteriori puede pasar este login al sitio real para que el sitio real mande el código por SMS a la víctima. Después de que esta introduzca el código la página malintencionada lo utiliza en el sitio web real y gana acceso completo."
fuente: applesfera.com (https://www.applesfera.com/seguridad/cada-codigo-su-sitio-web-autorrelleno-codigos-2fa-sms-a-prueba-ataques-phishing)