Cada dÃa se siguen acumulando los ciberataques, tácticas maliciosas que han cobrado fuerza con el pasar del tiempo y cada vez más continúan sumando vÃctimas alrededor del mundo afectando a grandes y pequeñas empresas. En esta oportunidad, Microsoft detalló una campaña de phishing a gran escala que puede secuestrar las cuentas de los usuarios cuando están protegidas con medidas de autenticación multifactoriales diseñadas para evitar tales tomas. Los actores de la amenaza, que han atacado a 10.000 organizaciones desde septiembre, han utilizado su acceso encubierto a las cuentas de correo electrónico de las vÃctimas para engañar a los empleados para que les envÃen dinero.
La autenticación de múltiples factores (también conocida como autenticación de dos factores, MFA o 2FA) es el estándar de oro para la seguridad de las cuentas. Requiere que el usuario de la cuenta demuestre su identidad en forma de algo que posee o controla una llave de seguridad fÃsica, una huella dactilar o un escáner facial o de retina, además de algo que conoce su contraseña. A medida que el creciente uso de la AMF ha puesto freno a las campañas de toma de posesión de cuentas, los atacantes han encontrado formas de contraatacar.
Microsoft observó una campaña que interponÃa un sitio proxy controlado por el atacante entre los usuarios de la cuenta y el servidor de trabajo al que intentaban acceder. Cuando el usuario introducÃa una contraseña en el sitio proxy, éste la enviaba al servidor real y luego retransmitÃa la respuesta del servidor real al usuario. Una vez completada la autenticación, el actor de la amenaza robaba la cookie de sesión que el sitio legÃtimo enviaba, para que el usuario no tuviera que volver a autenticarse en cada nueva página visitada. La campaña comenzó con un correo electrónico de phishing con un archivo adjunto HTML que conducÃa al servidor proxy.
"A partir de nuestra observación, después de que una cuenta comprometida iniciara sesión en el sitio de phishing por primera vez, el atacante utilizaba la cookie de sesión robada para autenticarse en Outlook online (outlook.office.com)", escribieron los miembros del equipo de investigación de Microsoft 365 Defender y del Centro de Inteligencia de Amenazas de Microsoft en una entrada de blog. "En múltiples casos, las cookies tenÃan un reclamo MFA, lo que significa que incluso si la organización tenÃa una polÃtica MFA, el atacante utilizó la cookie de sesión para obtener acceso en nombre de la cuenta comprometida."
En los dÃas siguientes al robo de cookies, los actores de la amenaza accedieron a las cuentas de correo electrónico de los empleados y buscaron mensajes para utilizarlos en estafas de compromiso de correo electrónico comercial, que engañaron a los objetivos para transferir grandes sumas de dinero a cuentas que creÃan que pertenecÃan a compañeros de trabajo o socios comerciales. Los atacantes utilizaban esas cadenas de correo electrónico y la identidad falsa del empleado hackeado para convencer a la otra parte de que realizara un pago.
Los ciberdeliencuentes crearon unas reglas en la bandeja de entrada que movÃan automáticamente correos determinados a una carpeta de archivo y los marcaban como leÃdos, todo esto con el fin de evitar que la vÃctima notara que su cuenta habÃa sido comprometida. En ese tiempo el actor de la amenaza se conectaba constantemente para revisar si tenÃan nuevos correos electrónicos.
"En una ocasión, el atacante llevó a cabo múltiples intentos de fraude simultáneamente desde el mismo buzón comprometido", escribieron los autores del blog. "Cada vez que el atacante encontraba un nuevo objetivo de fraude, actualizaba la regla de la bandeja de entrada que habÃa creado para incluir los dominios de la organización de estos nuevos objetivos".
Es muy fácil para los empleados caer en estas estafas. El gran volumen de correos electrónicos y la carga de trabajo hacen que a menudo sea difÃcil saber cuándo un mensaje es auténtico. El uso de MFA ya indica que el usuario o la organización está practicando una buena higiene de seguridad. Uno de los pocos elementos visualmente sospechosos en la estafa es el nombre de dominio utilizado en la página de aterrizaje del sitio proxy. Sin embargo, dada la opacidad de la mayorÃa de las páginas de inicio de sesión especÃficas de la organización, incluso el nombre de dominio incompleto podrÃa no ser una señal de alarma.
Nada de lo que cuenta Microsoft debe interpretarse como que el despliegue de MFA no es una de las medidas más efectivas para prevenir la toma de cuentas. Dicho esto, no todas las MFA son iguales. Los códigos de autenticación de un solo uso, incluso cuando se envÃan por SMS, son mucho mejor que nada, pero siguen siendo susceptibles de ser suplantados o interceptados mediante abusos más exóticos del protocolo SS7 utilizado para enviar mensajes de texto.
Las formas más eficaces de AMF disponibles son las que cumplen con los estándares establecidos por la Alianza FIDO, que abarca todo el sector. Estos tipos de MFA utilizan una clave de seguridad fÃsica que puede venir en forma de dongle de empresas como Yubico o Feitian o incluso un dispositivo Android o iOS. La autenticación también puede provenir de una huella dactilar o de un escáner de retina, ninguno de los cuales sale del dispositivo del usuario final para evitar que la biometrÃa sea robada. Lo que tienen en común todas las AMF compatibles con FIDO es que no pueden ser objeto de phishing y que utilizan sistemas de back-end resistentes a este tipo de campañas continuas.