Expertos en ciberseguridad comentan una campaña de phishing que puede burlar la MFA

El Centro de Defensa contra el Phishing de Cofence ha descubierto el último de los trucos de los ciberdelincuentes: una campaña de phishing que se salta la MFA. A diferencia de otros ataques de recolección de credenciales, la estafa intenta engañar a los usuarios para que concedan permisos a una aplicación que luego procede a saltarse la autenticación multifactor.

Aprovechando el marco OAuth2 y el protocolo OpenID Connect, el objetivo principal de esta campaña es robar la información del usuario para utilizarla como palanca para extorsionar un rescate en Bitcoin.

A continuación, los expertos en ciberseguridad ofrecen sus consejos y su visión sobre esta sofisticada estafa:

Daniel Conrad, estratega de campo de Una identidad

Se trata de un phishing muy bien elaborado, ya que «hace frente» a O365 con un sitio malicioso de SharePoint. Cuando el usuario se autentifica en O365, este sitio tiene acceso a los datos del usuario. Va más allá de la simple obtención de la contraseña de un usuario y de la posibilidad de moverse lateralmente o de elevar los privilegios. Desde la perspectiva de un atacante, este tipo de esfuerzo se utilizaría para objetivos específicos (también conocido como «whaling»), donde intentarían obtener información de cuentas específicas de usuarios específicos de alto nivel. Es un poco como un man-in-the-middle pero para O365. Una vez autenticados, tendrían acceso a todo lo almacenado en la plataforma O365, como el correo electrónico corporativo, los contactos, OneDrive, etc., que pueden tomar y retener para pedir un rescate o utilizar de forma maliciosa.

A medida que las organizaciones entrenan a los usuarios sobre el phishing y quiénes están detrás de sus identidades, los atacantes también están aprendiendo. Este ataque subraya la importancia de separar las credenciales privilegiadas de las credenciales de usuario estándar. Cualquier cuenta con permisos elevados no debería ser «phishingable».

Tarik Saleh, ingeniero de seguridad senior e investigador de malware en DomainTools

Este tipo de ataque es definitivamente preocupante, pero no sorprendente. Los ciberdelincuentes buscan constantemente formas nuevas e inventivas de burlar las defensas cada vez más complejas desplegadas por las empresas, y al moderar una estafa de phishing tradicional -de gran éxito por derecho propio- para burlar la autenticación multifactor, se han dotado de una plantilla para el éxito de la ciberdelincuencia.

El consejo para las organizaciones y los empleados es que permanezcan atentos a este nuevo tipo de amenaza, y que impartan formación con la mayor regularidad posible para asegurarse de que los individuos siguen siendo conscientes. El phishing es, en esencia, un ataque a las personas, y éstas siguen siendo la mejor defensa contra él, además de garantizar que se mantengan los procesos adecuados.

Jamie Akhtar, director general y cofundador de CyberSmart

Estas estafas son cada vez más sofisticadas en las formas en que se hacen pasar por fuentes legítimas y, aunque el software antiphishing puede ayudar a detener muchas de ellas, otras siempre lo conseguirán. La mejor defensa frente a las amenazas de phishing es educarse a sí mismo y a sus empleados sobre cómo detectar las señales de un ataque.

Hay que estar atento a los errores ortográficos y gramaticales, a las promesas exageradas y a los mensajes ansiosos, a las ventanas emergentes y a los plazos urgentes o a las llamadas a la acción. También hay que fijarse bien en quién envía el correo electrónico. Los intentos de phishing suelen utilizar el nombre de alguien conocido (un colega o amigo, por ejemplo) pero con una dirección de dominio errónea. Si el correo electrónico contiene un enlace, hay que verificar sus credenciales SSL y nunca dar información personal en un sitio que no tenga un certificado SSL válido. Si un empleado o una empresa se da cuenta de que ha sido objeto de una violación, debe actuar inmediatamente cambiando su contraseña personal y alertando a los empleados del resto de la empresa.

Uno de los aspectos del phishing que hace que sea tan difícil defenderse de él es que los atacantes están adaptando constantemente las tácticas que utilizan para atraer a la gente. Dedicar tiempo a educarse a sí mismo y a otros de forma regular sobre las amenazas actuales de phishing, es una parte importante para evitar estos ataques.

David Kennefick, arquitecto de productos de edgescan

Este es un ataque avanzado y un buen pensamiento fuera de la caja desde la perspectiva del atacante.

Muchas organizaciones confían en el apoyo a las soluciones SSO debido a su simplicidad. Este vector de ataque se alimenta de eso. La realidad es que estamos entrando en un mundo en el que hay personas que no han conocido otra cosa que no sea SSO.

Utilizan FB, Google y otras tecnologías para gestionar todas sus redes sociales, y desde una perspectiva de trabajo la respuesta en los controles corporativos como O365, Okta, Duo, etc para manejar toda la autenticación en su vida laboral, todos utilizando tecnologías como OAuth & SAML.

La principal manera de abordar esto es proporcionar conciencia a la gente que tiene cuentas con permiso que permitirá que este tipo de autorización suceda. Manténgase en la regla de privilegios mínimos y eso ayudará, requiera una doble firma de los activos hiper sensibles y su acceso. Formar a la gente de que esto es un vector de ataque y enseñarles cómo se utilizará en su contra.