Microsoft advierte a los usuarios de una campaña de phishing AiTM a gran escala dirigida a decenas de miles de organizaciones desde septiembre de 2021.
Microsoft ha advertido a los usuarios de una peligrosa ola de ataques de phishing AiTM que ya han afectado a más de 10.000 organizaciones. Los ataques se vienen produciendo desde septiembre de 2021 y roban las credenciales de los usuarios de Office 365.
Los atacantes pueden eludir Office365 MFA
Mediante el uso de sitios web de phishing adversary-in-the-middle (AiTM), los atacantes pueden eludir la función de autenticación multifactor (MFA) de los usuarios de Office365 creando una página de autenticación de Office365 falsa.
En este proceso, los atacantes intentan obtener la cookie de sesión de la víctima mediante la implementación de un servidor proxy entre el objetivo y el sitio web que se está falsificando.
Básicamente, los atacantes interceptan las sesiones de inicio de sesión de Office365 para robar las credenciales. Esto se conoce como secuestro de sesión. Pero no se detiene allí.
Los ataques AiTM conducen a ataques BEC y fraude de pago
Una vez que el atacante obtiene acceso al buzón de correo de la víctima a través del sitio AiTM, puede lanzar ataques de seguimiento contra compromisos de correo electrónico corporativo (BEC). Estas estafas se hacen pasar por personal de alto perfil de la empresa para engañar a los empleados para que tomen medidas que podrían dañar a la organización.
Esto ha llevado a múltiples instancias de fraude de pago al acceder a los registros financieros personales de la organización objetivo. La recuperación de estos datos a menudo conduce a que el dinero se transfiera a cuentas controladas por atacantes.
En un mensaje largo en el blog de seguridad de Microsoftla compañía afirma que ha «detectado múltiples repeticiones de una campaña de phishing de AiTM que intentó apuntar a más de 10,000 organizaciones desde septiembre de 2021».
Estos ataques no indican debilidad de MFA
Si bien este ataque utiliza autenticación multifactor, no representa ninguna ineficacia de esta medida de seguridad. Microsoft afirma en su publicación de blog que esto se debe a que «el phishing AiTM roba la cookie de sesión, el atacante se autentica para una sesión en nombre del usuario, independientemente del método de inicio de sesión que utilice este último».
Debido a que la autenticación multifactor puede ser tan protectora, los ciberdelincuentes están desarrollando formas de eludirla, lo que habla más del éxito de la función que de sus advertencias. Por lo tanto, esta campaña de phishing NO debe verse como una razón para desactivar MFA en sus cuentas.
El phishing es un método de ataque terriblemente común
El phishing es ahora un método de ataque terriblemente común en línea, con esta campaña AiTM en particular que afecta a miles de partes involuntarias. Si bien no indica una debilidad de MFA, muestra que los ciberdelincuentes ahora están desarrollando nuevas formas de eludir tales medidas de seguridad.