En los últimos tiempos, ha ganado impulso la adopción de la autenticación multifactor (MFA). Tanto expertos en seguridad de consumidores como organismos gubernamentales instan a todos a adoptar esta tecnología. Sin embargo, como es común cuando algo se vuelve popular, también se convierte en blanco de ataques.
No obstante, los delincuentes son resistentes e ingeniosos. Cuando la gente empezó a sentirse abrumada por la cantidad de contraseñas complejas que debía recordar, empezaron a guardarlas en “billeteras” de contraseñas, las cuales se convirtieron en el objetivo de los delincuentes. Lo mismo ha ocurrido con la MFA. Esta forma de autenticación, también conocida como autenticación de dos factores (2FA), añade una capa extra de seguridad a las cuentas y sistemas en línea, solicitando al usuario verificar su inicio de sesión con algo más que su contraseña.
A medida que los usuarios confiaban cada vez más en la MFA como defensa contra posibles compromisos, los ciberatacantes comenzaron a dirigirse a los servicios de MFA, que estaban concentrados en un número limitado de intermediarios.
Según informes de Infoblox y otros, los ataques de phishing a dominios MFA han aumentado significativamente en los últimos 15 meses, facilitados por herramientas asequibles disponibles en el mercado oscuro para llevar a cabo ataques de intercepción del medio (AiTM) a gran escala. Aunque los detalles pueden variar, un ataque MFA típico sigue este patrón:
- El atacante obtiene una lista de números de teléfono de sus objetivos.
- Registran un nombre de dominio similar a MFA, 2FA, Okta, Duo u otras palabras clave de verificación conocidas.
- Utilizan herramientas para enviar mensajes de texto SMS con algún mensaje urgente que pide al usuario que verifique sus credenciales de una cuenta.
- Cuando el usuario hace clic en el enlace, el atacante interactúa con él y intercepta los códigos MFA; incluso pueden llamar a la víctima para aumentar el engaño.
- El atacante transmite los códigos MFA al sistema real y obtiene acceso a la cuenta del usuario.
- A partir de ahí, los atacantes pueden llevar a cabo otros ataques para obtener un mayor acceso y aumentar sus privilegios, o simplemente robar información del usuario y continuar.
Estos ataques de phishing se dirigen tanto a consumidores como a empresas. Infoblox ha desarrollado algoritmos personalizados para detectar el registro y uso de dominios similares a MFA, y han observado ataques masivos a servicios bancarios y otras entidades financieras, así como ataques dirigidos a instituciones. Desde junio de 2022, notaron un aumento constante en estos ataques y detectaron cientos de nuevos dominios similares a MFA cada mes.
El caso de Retool
De acuerdo con esta firma, detectaron decenas de estos dominios consultados en las redes de sus clientes cada mes. Aunque parezca un número pequeño, solo se necesita un solo ataque de phishing exitoso para comprometer una red. La empresa de software Retool reveló que un incidente similar ocurrió a finales de agosto de 2023, afectando a casi 30 de sus clientes de la nube. Retool proporcionó un relato detallado del hackeo. En el caso de Retool, una configuración de Google, originalmente diseñada como una característica de comodidad para los usuarios, permitió al atacante un acceso mucho más amplio a las redes internas de lo que habría logrado con un ataque de smishing estándar de AiTM. Retool señaló con razón que en este caso, la MFA ya no era autenticación multifactor, ya que el acceso a la cuenta de Google de un solo usuario proporcionaba acceso a todas las aplicaciones internas de ese usuario. Los hackers habían superado con éxito la autenticación MFA de la empresa y la sincronización MFA de Google.
Infoblox ha notado que casi el 100% de los dominios similares a MFA son utilizados por el actor dentro de las 24 horas posteriores a su registro. Esto contrasta con la mayoría de los dominios de phishing que observó, donde solo el 55% se utiliza el mismo día en que se registran.
Hace muchos años, los dominios de phishing se registraban y se utilizaban inmediatamente, y luego desaparecían casi con la misma rapidez, en un ciclo rápido. Sin embargo, la industria de la seguridad respondió desarrollando formas de bloquear dominios recién registrados y creando sistemas de escaneo que buscaban contenido activo de phishing basado en datos de registro.
Los phishers respondieron retrasando el uso de sus dominios, una práctica conocida como envejecimiento estratégico. Datos de Infoblox de los últimos cinco años han mostrado consistentemente una tendencia en el phishing hacia el envejecimiento estratégico, con más del 30% de los dominios observados por primera vez en campañas más de tres días después del registro.
Si los phishers esperan para usar sus dominios, ¿por qué aquellos que usan imitaciones de MFA los usan en campañas inmediatamente? No se sabe con certeza, pero podría ser un intento de sorprender a los sistemas de seguridad. A diferencia de los ataques de phishing comunes, los empleados de Retool fueron atacados utilizando información específica sobre la inscripción en atención médica de su empresa; esto se llama phishing.
Aunque las imitaciones genéricas de MFA son comunes, también Infoblox detectó una gran cantidad de dominios maliciosos que incluyen tanto una imitación de una empresa como un término asociado con MFA. A menudo, el nombre de la empresa se abrevia o se escribe mal. Las instituciones financieras y los proveedores de servicios de Internet son objetivos comunes de este enfoque.
“Infoblox ha implementado la detección de similitudes durante tres años y ha ajustado especialmente la detección de similitudes de MFA desde principios de este año para encontrar y bloquear los dominios antes de que afecten a nuestros clientes. Estamos constantemente perfeccionando nuestro enfoque y aprendiendo de eventos en los que no pudimos detectar actividad maliciosa”, señaló Ivan Sánchez, VP de LATAM de Infoblox.
Además de mensajes SMS, los ataques similares a MFA también se realizan de otras formas. Los correos electrónicos de phishing, los sitios web comprometidos y fraudulentos y la publicidad maliciosa son algunas de las formas en que un atacante puede entregar un enlace. A principios de este año, la Comisión de Ciberseguridad y Seguridad de Infraestructura de EE. UU. (CISA) publicó un aviso conjunto de ciberseguridad sobre una campaña de phishing que involucra el uso malicioso de software legítimo de monitoreo y administración remota (RMM). En esos incidentes, el atacante solicitaba al usuario que ingresara un dominio similar por teléfono en un navegador web. ¡Hay muchas formas de engañar a un usuario para que visite un dominio!