Los ataques de phishing ahora son increíblemente comunes. Este método de ciberdelincuencia puede ser muy efectivo en el robo de datos y no requiere una gran cantidad de trabajo a nivel básico. Pero el phishing también se presenta de muchas formas, una de las cuales son los ataques de adversario en el medio. Entonces, ¿qué son los ataques de phishing Adversary-in-the-Middle? ¿Y cómo puedes alejarte de ellos?
¿Qué son los ataques de adversario en el medio?
Un ataque de phishing Adversary-in-the-Middle (AiTM) implica el robo de cookies de sesión para robar datos privados e incluso eludir las capas de autenticación.
Es probable que haya oído hablar de las cookies antes. Hoy en día, la mayoría de los sitios en los que hace clic le pedirán permiso para usar cookies para personalizar mejor su experiencia en línea. En resumen, las cookies rastrean su actividad en línea para comprender sus hábitos. Son pequeños archivos de texto de datos que se pueden enviar a su servidor cada vez que hace clic en una nueva página web, lo que por lo tanto le da a ciertas partes la capacidad de monitorear su actividad.
Hay muchos tipos de cookies por ahí. Algunos son necesarios y otros simplemente no lo son. Los ataques de AiTM están relacionados con las cookies de sesión. Son cookies que almacenan temporalmente datos del usuario durante una sesión web. Estas cookies se pierden inmediatamente una vez que cierra su navegador.
Como siempre ocurre con el phishing, un ataque de phishing AiTM comienza cuando el ciberdelincuente se comunica con el objetivo, generalmente por correo electrónico. Estas estafas también usan sitios web maliciosos para robar datos.
Los ataques AiTM han sido un problema particularmente apremiante para los usuarios de Microsoft 365, ya que los atacantes se ponen en contacto con los objetivos y les piden que inicien sesión en sus cuentas de 365. El actor malicioso se hará pasar por una dirección oficial de Microsoft en esta estafa, que también es típica en los ataques de phishing.
El objetivo aquí no es solo robar información de inicio de sesión, sino evitar la autenticación multifactor (MFA) de la víctima o autenticación de dos factores (2FA) capa. Estas son características de seguridad que se utilizan para verificar el inicio de sesión de una cuenta al solicitar permiso de un dispositivo o cuenta por separado, como su teléfono inteligente o correo electrónico.
El ciberdelincuente también utilizará un servidor proxy para comunicarse con Microsoft y alojar la página de inicio de sesión 365 falsa. Este proxy permite al atacante robar la cookie de sesión y la información de inicio de sesión de la víctima. Cuando la víctima ingresa su información de inicio de sesión en el sitio malicioso, luego robará la cookie de sesión para proporcionar una autenticación falsa. Esto le da al atacante la capacidad de eludir la solicitud 2FA o MFA de la víctima, dándole acceso directo a su cuenta.
Cómo protegerse contra los ataques de phishing de AiTM
Si bien un ataque de phishing AiTM difiere de un ataque de phishing típico, aún puede emplear las mismas prácticas para evitar el primero como lo haría con el segundo. Esto comienza con cualquier enlace proporcionado dentro de sus correos electrónicos.
Si recibe un correo electrónico de un remitente supuestamente confiable que indica que necesita usar el enlace proporcionado para iniciar sesión en una de sus cuentas en línea, tenga cuidado. Este es un truco de phishing clásico y puede ser preocupantemente fácil pasarlo por alto, especialmente si el atacante usa un lenguaje persuasivo o urgente para convencerlo de que inicie sesión en una cuenta lo antes posible.
Por lo tanto, si recibe un correo electrónico que incluye algún tipo de enlace, asegúrese de ejecutarlo a través de un sitio web de verificación de enlaces antes de hacer clic. Además de esto, si el correo electrónico indica que necesita iniciar sesión en una cuenta, simplemente busque la página de inicio de sesión en su navegador y acceda a su cuenta allí. De esta manera, puede ver si hay algún problema que deba resolver en su cuenta sin hacer clic en ningún tipo de enlace proporcionado.
También debe evitar abrir archivos adjuntos que le hayan enviado desde una dirección desconocida, incluso si el remitente afirma ser una persona de confianza. Los archivos adjuntos maliciosos también se pueden usar en los ataques de phishing de AiTM, por lo que debe tener cuidado con lo que abre.
En resumen, si no hay una necesidad real de abrir el archivo adjunto, déjelo en paz.
Si, por el contrario, cree que necesita abrir el archivo adjunto, realice algunas comprobaciones rápidas antes de hacerlo. Debe observar el tipo de archivo del archivo adjunto para determinar si debe considerarse sospechoso. Por ejemplo, se sabe que los archivos .pdf, .doc, zip y .xls se utilizan en archivos adjuntos maliciosos, así que tenga cuidado si un archivo adjunto determinado es uno de estos tipos de archivo.
Además de esto, verifique el contexto del correo electrónico. Si el remitente afirma que el archivo adjunto contiene un documento, como un extracto bancario, pero el archivo tiene una extensión .mp3, es probable que se trate de un archivo adjunto engañoso y potencialmente peligroso, ya que un archivo MP3 no se usaría para una documento.
Mire la dirección del remitente de cualquier correo electrónico sospechoso que reciba. Por supuesto, cada dirección de correo electrónico es única, por lo que un atacante no puede usar una dirección de correo electrónico oficial de la empresa para comunicarse con usted a menos que haya sido pirateada. En el caso del phishing, los estafadores suelen utilizar direcciones de correo electrónico que se parecen un poco a la dirección oficial de una organización.
Por ejemplo, si recibe un correo electrónico de alguien que reclama Microsoft, pero observa que la dirección dice "micr0s0ft" en lugar de "Microsoft", se trata de una estafa de phishing. Los delincuentes también agregarán una letra o número adicional a una dirección de correo electrónico para que se vea muy similar, pero no idéntica, a la dirección legítima.
Incluso puede determinar si un enlace es sospechoso al mirarlo. Los sitios maliciosos suelen tener enlaces que parecen inusuales. Por ejemplo, si un correo electrónico indica que el enlace provisto lo enviará a una página de inicio de sesión de Microsoft, pero la URL indica que es un sitio web completamente diferente, manténgase alejado. Verificar el dominio del sitio web puede ser especialmente útil para evitar el phishing.
Por último, si recibe un correo electrónico de una fuente supuestamente oficial que está lleno de errores ortográficos y gramaticales, es probable que esté tratando con un estafador. Las empresas oficiales a menudo se aseguran de que sus correos electrónicos estén escritos correctamente, mientras que los ciberdelincuentes a veces pueden ser descuidados con sus comunicaciones. Por lo tanto, si un correo electrónico que recibió está escrito con mucha pereza, tenga cuidado con la forma en que procede.
Esté en guardia para evitar ataques de phishing AiTM
El phishing es muy frecuente y se utiliza tanto para individuos como para organizaciones, lo que significa que nadie está realmente a salvo de esta amenaza. Por lo tanto, para evitar los ataques de phishing AiTM y el phishing en general, tenga en cuenta los consejos proporcionados anteriormente para mantener sus datos seguros.
