Phishing: un ataque pasa por alto la autenticación de dos factores

Microsoft acaba de descubrir una campaña masiva de phishing (o phishing) dirigida a empresas y ya se ha dirigido a más de 10.000 organizaciones desde septiembre de 2021. Gracias a una técnica sofisticada, los perpetradores pueden acceder a las cuentas de las víctimas, incluso si tienen habilitada la autenticación de dos factores. . La campaña fue detectada por Microsoft, que publicó un informe en su sitio.

Por lo general, los ataques de phishing se basan en un sitio falso, que se parece lo más posible al real, con una página de inicio de sesión falsa que envía las credenciales al perpetrador. Este nuevo ataque es mucho más sofisticado porque muestra el sitio real a través de un proxy. Se dirige específicamente a los usuarios de Office 365 imitando la página de inicio de sesión de Office.

Robo de cookies para evitar la autenticación multifactor

Las víctimas reciben un correo electrónico que contiene un archivo HTML como archivo adjunto. Este es, por ejemplo, un mensaje que les dice que han recibido un mensaje de voz. La víctima hace clic para abrir el archivo adjunto en el navegador, que lo redirige al sitio falso que le pide que inicie sesión. El archivo HTML también transmite la dirección de correo electrónico al sitio falso, que luego se completa previamente para tranquilizar y engañar mejor a la víctima. Hasta ahora, nada muy sorprendente. Lo que cambia de los ataques clásicos es el uso de un proxy. El sitio falso crea dos sesiones, una con la víctima y otra con el sitio copiado, y transmite las páginas. Entonces, la única diferencia entre el sitio real y el sitio de phishing es la dirección.

La víctima se identifica y su información se transmite al sitio original. Si tiene habilitada la autenticación multifactor, funcionará como de costumbre. Luego, el sitio envía una cookie de sesión, copiada por el sitio falso y transmitida a la víctima. Finalmente, la víctima es redirigida a office.com donde es identificada gracias a esta cookie.

El objetivo de los piratas informáticos es precisamente la cookie de sesión. Este es un elemento utilizado por todos los sitios web para justificar que el usuario ya está autenticado. Esto evita tener que pedirle su contraseña cada vez que navega de una página a otra. En este caso, los piratas informáticos pueden usar la cookie de sesión robada para acceder a la cuenta de la víctima sin tener que identificarse nunca y, por lo tanto, sin enfrentarse a la solicitud de autenticación de dos factores.

Acceso para realizar fraudes manuales

La campaña de phishing es solo la mitad del ataque. Luego, los perpetradores utilizaron el acceso para llevar a cabo fraudes de pago. Microsoft detectó que menos de cinco minutos después de obtener la cookie de sesión, los piratas informáticos irrumpieron en la cuenta de Outlook de la víctima en busca de intercambios sobre facturas o pagos. Una vez que se ha localizado un objetivo, son libres de responder al último mensaje recibido e intentar estafar a esta nueva víctima exigiendo el pago. Por lo tanto, esta segunda parte del ataque se lleva a cabo de forma totalmente manual. Para no ser detectados por el propietario del correo electrónico, los piratas informáticos agregaron un filtro en Outlook que archiva cualquier respuesta del corresponsal y luego eliminan cualquier correo electrónico enviado.

Para protegerse, Microsoft aconseja a las empresas que configuren un acceso condicional basado, por ejemplo, en la ubicación de la dirección IP o el estado del dispositivo utilizado. Por el lado del usuario, un administrador de contraseñas debería ser suficiente para evitar ser víctima de este tipo de ataque.

¿Ideas de lectura para el verano con Futura?

Para celebrar el inicio de las vacaciones, te ofrecemos la Mag Futura al precio preferencial de 15 € en lugar de 19 €, es decir, una rebaja del 20 % !

¿Qué es Mag Futura?

Nuestra primera revista en papel de más de 200 páginas para hacer que la ciencia sea accesible al mayor número de personas posible4 grandes preguntas científicas para 2022, de la Tierra a la Luna Entrega a domicilio*

*Oferta especial válida hasta el 19 de julio. La entrega se realiza en Francia (excepto Francia metropolitana), Suiza, Bélgica.

¿Te interesa lo que acabas de leer?

Deja un comentario