Las campañas de phishing en curso pueden piratearlo incluso si está protegido con MFA
Getty Images El martes, Microsoft detalló una campaña de phishing a gran escala en curso que puede secuestrar cuentas de usuario si están protegidas con medidas de autenticación de múltiples factores para evitar tales adquisiciones. Los actores de amenazas detrás de la operación, que se han dirigido a 10,000 organizaciones desde septiembre, han utilizado su acceso encubierto a las cuentas de correo electrónico de las víctimas para engañar a los empleados para que envíen dinero a los piratas informáticos. La autenticación multifactor, también conocida como autenticación de dos factores, MFA o 2FA, es el estándar de oro para la seguridad de la cuenta. Requiere que el usuario de la cuenta demuestre su identidad en forma de algo que posee o controla (una clave de seguridad física, una huella digital o un escaneo de rostro o retina) además de algo que conoce (su contraseña). Dado que el uso creciente de MFA ha obstaculizado las campañas de adquisición de cuentas, los atacantes han encontrado formas de contraatacar.
El adversario en el medio
Microsoft observó una campaña en la que se insertó un sitio proxy controlado por un atacante entre los usuarios de la cuenta y el servidor de trabajo en el que intentaban iniciar sesión. Cuando el usuario ingresó una contraseña en el sitio proxy, el sitio proxy la envió al servidor real y luego reenvió la respuesta del servidor real al usuario. Una vez que se completó la autenticación, el actor de amenazas robó la cookie de sesión que había enviado el sitio web legítimo, por lo que el usuario no tiene que volver a autenticarse en cada nueva página visitada. La campaña comenzó con un correo electrónico de phishing con un archivo adjunto HTML que conducía al servidor proxy.
Ampliar / El sitio web de phishing intercepta el proceso de autenticación. «Nuestra observación es que después del inicio de sesión inicial de una cuenta comprometida en el sitio de phishing, el atacante usó la cookie de sesión robada para autenticarse en Outlook en línea (outlook.office.com)», dijeron miembros del equipo de investigación de Microsoft 365 Defender y Microsoft Threat. Intelligence Center escribió en una publicación de blog. «En varios casos, las cookies tenían un reclamo de MFA, lo que significa que el atacante usó la cookie de sesión para obtener acceso en nombre de la cuenta comprometida, incluso si la organización tenía una política de MFA». accedieron a las cuentas de correo electrónico de los empleados en busca de mensajes que pudieran usar en estafas comerciales de compromiso de correo electrónico que engañaron a los objetivos para que transfirieran grandes sumas de dinero a cuentas que creían que pertenecían a empleados o socios comerciales. Los atacantes utilizaron estos hilos de correo electrónico y la identidad falsa del empleado pirateado para convencer a la otra parte de que hiciera un pago. Para evitar que el empleado pirateado descubra el compromiso, los atacantes crearon reglas de bandeja de entrada que automáticamente movieron ciertos correos electrónicos a una carpeta de archivo y los marcaron como leídos. Durante los siguientes días, el atacante inició sesión periódicamente para comprobar si había nuevos correos electrónicos. «Una vez que el atacante ejecutó múltiples intentos de fraude simultáneamente desde el mismo buzón comprometido», escribieron los autores del blog. «Cada vez que el atacante encontraba un nuevo objetivo de fraude, actualizaba la regla de la bandeja de entrada que creó para incluir los dominios corporativos de esos nuevos objetivos».
Ampliar/Página de inicio de phishing de muestraMicrosoft Nada en la cuenta de Microsoft debe indicar que proporcionar MFA no es una de las medidas más efectivas para evitar la apropiación de cuentas. Sin embargo, no todos los MFA son iguales. Los códigos de autenticación de un solo uso, incluso cuando se envían por SMS, son mucho mejores que nada, pero siguen siendo susceptibles de suplantación de identidad o interceptables mediante abusos más exóticos del protocolo SS7 que se utiliza para enviar mensajes de texto. Las formas más efectivas de MFA disponibles son aquellas que siguen los estándares establecidos por la Alianza FIDO de toda la industria. Estos tipos de MFA usan una clave de seguridad física, que puede venir como un dongle de compañías como Yubico o Feitian, o incluso como un dispositivo Android o iOS. La autenticación también se puede realizar a través de una huella dactilar o un escaneo de retina, los cuales nunca abandonan el dispositivo del usuario final para evitar que se roben los datos biométricos. Lo que todos los MFA compatibles con FIDO tienen en común es que no pueden ser objeto de suplantación de identidad y utilizan sistemas de back-end que son resistentes a este tipo de campañas en curso.