- Los ciberdelincuentes engañaron a los agentes de atención al cliente de Mater AI para que reenviaran códigos de restablecimiento de contraseña
- Las cuentas robadas, con un valor conjunto de más de 1 millón de dólares, se pusieron a la venta en Telegram.
- El ataque pone de relieve los riesgos de delegar tareas sensibles a sistemas de IA
Los ciberdelincuentes llevaron a cabo con éxito un ataque de ingeniería social contra el servicio de atención al cliente de Meta, engañando al representante para que iniciara una secuencia de restablecimiento de contraseña sin solicitar ninguna verificación de identidad.
La noticia aquí es que el representante era en realidad un agente de IA, no un ser humano en absoluto. Los investigadores que revelaron el ataque enfatizaron lo peligroso que es entregar tareas delicadas a la IA. Meta pronto lo arregló.
Según el renombrado investigador ZachXBT y Dark Web Informer, los ciberdelincuentes entablaron conversaciones con el chatbot Mater AI y este envió códigos de restablecimiento de contraseña para la cuenta de otra persona. Las cuentas objetivo son cuentas premium de manejo corto que normalmente tienen millones de seguidores y pueden venderse por grandes cantidades de dinero en el mercado negro.
Vender cuentas robadas
De hecho, los investigadores señalaron dos cuentas específicas: @Hei y @Joo, que supuestamente venden “en conjunto más de 1 millón” en el canal Telegram. Noticias de seguridad cibernética Informe
Los investigadores siguieron la actividad de ventas y las listas de seguimiento de cuentas robadas circularon en varios grupos de hackers en Telegram.
Meta abordó el problema el viernes pasado por la noche: “Solucionamos un problema que permitía a una parte externa solicitar correos electrónicos de restablecimiento de contraseña para algunos usuarios de Instagram. No hubo ninguna violación de nuestros sistemas y las cuentas de Instagram de las personas permanecen seguras”, dijo la compañía en un anuncio de seguimiento.
Constantemente se advierte a los usuarios sobre ataques de ingeniería social y phishing y se les dan consejos sobre cómo mantener sus cuentas seguras. Sin embargo, en este caso no podían hacer nada, ya que el ataque estaba dirigido a la plataforma en sí, no a los usuarios.
Aún así, tener autenticación multifactor (MFA) es probablemente la mejor manera de protegerse contra el phishing y la ingeniería social, pero es importante que no se envíen códigos de un solo uso por SMS. Además, registrar una cuenta con una cuenta de correo electrónico privada y desconocida también es un truco complicado.
El mejor antivirus para todos los bolsillos
Siga TechRadar en Google News Y Agréganos como fuente preferida Recibe noticias, reseñas y opiniones de nuestros expertos en tu feed.
