Microsoft se ha hecho eco de una campaña de phishing generalizada que buscaba el robo de las credenciales de las organizaciones victma y que, además, pudo eludir las defensas de autenticación multifactor (MFA).
Para ello, los actores de amenazas se sirvieron de sitios de proxy inverso AiTM (Attacker-in-The-Middle) para hacerse pasar por webs de inicio de sesión de Office 365. Estas páginas les pedían códigos de doble factor y posteriormente los utilizaban para iniciar sesión en el sitio auténtico.
Cuando los hackers obtenían el acceso y podían entrar en las bandejas de entrada de su email usaban las contraseñas robadas y cookies de sesión y lo aprovechaban para lanzar ataques de BEC (o Business Email Compromise).
Al establecer reglas en las cuentas de correo electrónico de las víctimas los ciberdelincuentes se aseguraban de poder mantener el acceso a sus emails aunque los afectados cambiaran las contraseñas, según se hace eco Microsoft en un informe.
A través de esta campaña, unas 10.000 organizaciones podrían haberse visto afectadas.
Una técnica útil, pero no infalible
La autenticación multifactor es, actualmente, una de las herramientas de seguridad más utilizadas para hacer todo tipo de acciones y operaciones, que van desde entrar a nuestra cuenta del banco, hacer un pago online, una compra en Internet hasta una gestión con Hacienda.
El uso de la verificación en dos pasos o 2FA y los códigos multifactor se han hecho más populares con la llegada de la pandemia en todo tipo de servicios.
Conscientes de esto, los cibermalos han tratado de eludir estos mecanismos, que, como vemos tampoco resultan infalibles para no ser hackeados. Los kits de phishing de proxy inverso imitan a una web auténtica en su apariencia y diseño, llegando a sobreponerse sobre esta, y haciendo que el usuario apenas pueda percibir la diferencia.
Microsoft aconseja a las organizaciones que además de la autenticación multifactor usen tecnología adicional para protegerse. Propone habilitar políticas de acceso condicional, el despliegue de defensas antiphishing en los accesos al correo electrónico y web o detección de actividad inusual en el buzón del correo.