Microsoft ha advertido a los usuarios de una peligrosa ola de ataques de phishing AiTM que ya han afectado a más de 10.000 organizaciones. Los ataques se llevan a cabo desde septiembre de 2021 y están robando las credenciales de inicio de sesión de los usuarios de Office 365.
Los atacantes pueden eludir Office365 MFA
Mediante el uso de sitios web de phishing adversary-in-the-middle (AiTM), las partes maliciosas pueden eludir el autenticación multifactor (MFA) característica empleada por los usuarios de Office365 mediante la creación de una página de autenticación de Office365 falsa.
En este proceso, los atacantes intentan obtener la cookie de sesión de la víctima a través del despliegue de un servidor proxy entre el objetivo y el sitio web que está siendo falsificado.
Básicamente, los atacantes están interceptando sesiones de inicio de sesión de Office365 para robar información de inicio de sesión. Esto se conoce como secuestro de sesión. Pero las cosas no se detienen ahí.
Los ataques AiTM conducen a ataques BEC y fraude de pago
Una vez que el atacante obtiene acceso al buzón de correo de la víctima a través del sitio de AiTM, puede realizar ataques de compromiso de correo electrónico comercial (BEC) de seguimiento. Estas estafas implican la suplantación de personal de alto nivel de la empresa para engañar a los empleados para que realicen acciones que pueden causar daño a la organización.
Esto ha llevado a múltiples instancias de fraude de pago al acceder a los documentos financieros privados de la organización objetivo. La recuperación de estos datos a menudo conduce a que los fondos se transfieran a cuentas controladas por atacantes.
En una larga publicación sobre el blog de seguridad de Microsoft, la compañía afirma que ha "detectado múltiples iteraciones de una campaña de phishing AiTM que intentó apuntar a más de 10,000 organizaciones desde septiembre de 2021".
Estos ataques no son indicativos de la debilidad de MFA
Aunque este ataque aprovecha la autenticación multifactor, no representa ningún tipo de ineficacia por parte de esta medida de seguridad. Microsoft afirma en su publicación de blog que esto se debe a que "el phishing AiTM roba la cookie de sesión, la el atacante se autentica en una sesión en nombre del usuario, independientemente del método de inicio de sesión de este último usos".
Debido a que la autenticación multifactor puede ser tan protectora, los ciberdelincuentes están desarrollando formas de superarla, lo que habla más del éxito de la función que de sus advertencias. Por lo tanto, esta campaña de phishing NO debe verse como una razón para desactivar MFA en sus cuentas.
El phishing es un método de ataque terriblemente común
El phishing es ahora un método de ataque terriblemente común en línea, con esta campaña AiTM en particular logrando afectar a miles de partes sin saberlo. Si bien no sugiere una debilidad de MFA, muestra que los ciberdelincuentes ahora están desarrollando nuevas formas de superar tales medidas de seguridad.
