10.000 organizaciones atacadas por ataques de phishing que eluden la autenticación multifactor
Microsoft ha compartido detalles de una campaña de phishing generalizada que no solo intentó robar las contraseñas de las organizaciones objetivo, sino que también fue capaz de eludir las defensas de autenticación multifactor (MFA).
Los atacantes utilizaron sitios de proxy inverso AiTM (Attacker-in-The-Middle) para hacerse pasar por páginas de inicio de sesión de Office 365 que solicitaban códigos MFA y luego los usaban para iniciar sesión en el sitio original.
Según Microsoft informe detallado de la campañauna vez que los piratas informáticos entraron en las bandejas de entrada de correo electrónico mediante el uso de contraseñas robadas y cookies de sesión, explotarían su acceso para lanzar ataques de Business Email Compromise (BEC) en otros objetivos.
Al crear reglas en las cuentas de correo electrónico de las víctimas, los atacantes pueden asegurarse de que pueden mantener el acceso al correo electrónico entrante incluso si la víctima cambia su contraseña más adelante.
La pandemia mundial y el consiguiente aumento del personal que trabaja desde casa ha ayudado a impulsar un aumento en la adopción de la autenticación multifactor.
Sin embargo, los ciberdelincuentes no han tirado la toalla cuando se enfrentan a cuentas protegidas por MFA. Las cuentas con MFA son ciertamente menos triviales que las cuentas que no han reforzado su seguridad, pero eso no significa que sea imposible.
Kits de phishing de proxy inverso como Modlishka, por ejemplo, hacerse pasar por una página de inicio de sesión y pedir a los usuarios desprevenidos que introduzcan sus credenciales de inicio de sesión y el código MFA. Los datos recopilados luego se pasan al sitio web genuino, lo que otorga al ciberdelincuente acceso al sitio.
A medida que más y más personas reconozcan los beneficios de MFA, podemos esperar un aumento en la cantidad de ciberdelincuentes que se esfuerzan por eludir MFA.
El consejo de Microsoft es que las organizaciones deben complementar MFA con tecnología adicional y mejores prácticas.
Estos incluyen habilitar políticas de acceso condicional (por ejemplo, probar que los inicios de sesión provienen de direcciones IP confiables y dispositivos compatibles), el despliegue de defensas antiphishing en las puertas de enlace de correo electrónico y web, detección de actividad inusual en el buzón (como la creación de correo electrónico sospechoso). reglas de la bandeja de entrada e inicios de sesión con características inusuales).
Se puede obtener más información técnica sobre los ataques. encontrado en el informe de Microsoft.
“Si bien el phishing de AiTM intenta eludir la MFA, es importante subrayar que la implementación de la MFA sigue siendo un pilar esencial en la seguridad de la identidad”, dijo Microsoft. “MFA sigue siendo muy eficaz para detener una amplia variedad de amenazas; su efectividad es la razón por la que surgió el phishing AiTM en primer lugar”.