Microsoft detalla cómo la campaña de phishing eludió MFA

La campaña de phishing AiTM se ha dirigido a más de 10.000 organizaciones desde septiembre de 2021, según Microsoft, que ha detallado la amenaza en un nuevo blog . En un ejemplo, el atacante envió correos electrónicos que incluían un archivo HTML adjunto a múltiples destinatarios en diferentes organizaciones, informándoles que tenían un mensaje de voz.

Luego, los atacantes usaron las credenciales robadas y las cookies de sesión para acceder a los buzones de correo de los usuarios afectados y realizar campañas de compromiso de correo electrónico comercial contra otros objetivos, según el equipo de investigación de 365 Defender de Microsoft.

Al formar la base de una gran cantidad de incidentes cibernéticos, el phishing es "una de las técnicas más comunes" utilizada por los atacantes para obtener acceso inicial a las organizaciones, dijo Microsoft, citando cifras de su Informe de defensa digital de Microsoft de 2021 , que mostró que los ataques de phishing se duplicaron . en 2020.

Si bien un número cada vez mayor de empresas utiliza MFA para aumentar la seguridad, Microsoft advierte que no es infalible. “Desafortunadamente, los atacantes también están encontrando nuevas formas de eludir esta medida de seguridad”, dijo el equipo de investigación de 365 Defender.

En el último ataque, los adversarios implementan un servidor proxy entre un usuario objetivo y un sitio web suplantado. Esto permite al atacante interceptar la contraseña del usuario y la cookie de sesión que prueba su sesión en curso y autenticada con el sitio web. “Dado que el phishing AiTM roba la cookie de sesión, el atacante se autentica en una sesión en nombre del usuario, independientemente del método de inicio de sesión que utilice este último”, explicó Microsoft.

Es "interesante" que los atacantes estén aprovechando las técnicas de phishing para recolectar cookies de sesión y credenciales, dijo el investigador de seguridad independiente Sean Wright. “Estos ataques muestran la importancia de controles de seguridad bien establecidos junto con funciones como MFA y comunicaciones cifradas, como HTTPS”.

Wright aconseja utilizar tokens de seguridad basados en FIDO siempre que sea posible "ya que estos tienen un historial comprobado en la prevención de intentos de phishing".

Además, Microsoft sugiere que las organizaciones complementen MFA con políticas de acceso condicional. Esto ve las solicitudes de inicio de sesión evaluadas utilizando señales adicionales basadas en la identidad, como la membresía de un usuario o grupo, la información de ubicación de IP y el estado del dispositivo.

Erich Kron, defensor de la conciencia de seguridad en KnowBe4 , aconsejó a las organizaciones que capaciten a los empleados sobre cómo identificar y denunciar el phishing y probarlos regularmente con ataques de phishing simulados. Además, educar a los usuarios sobre cómo identificar páginas de inicio de sesión falsas "reducirá en gran medida el riesgo de renunciar a las credenciales y las cookies de sesión".