¿Cómo puedes protegerte? Microsoft advierte sobre un nuevo ataque de phishing capaz de eludir la autenticación 2FA

En la era digital las formas de amenaza, intimidación, fraude y otras acciones ilegales en la red no son desconocidas para nadie. Todos los días se llevan a cabo acciones con mala intención en equipos, softwares o compañías enteras que puedan ser de interés para el “hacker“ y en esta ocasión le ha tocado a Microsoft.

El ataque de phishing que nos ocupa y que podemos recibir es capaz de hacer que podamos autentificarnos en modo multifactor o MFA. Además, advierten lo eficiente de la manera de haber conseguido esto. La alerta por parte de Microsoft es rápida pero precisamente esa mejora en la capacidad de realizar ciberdelitos implica que, a la vez, las consecuencias puedan ser mayores.

Microsoft advierte de un ataque de phishing que elude la 2FA

El ataque, que se incluye dentro de una campaña prácticamente global, acaba de ser advertido por el gigante Microsoft aunque lleva en marcha meses, demasiados. En este caso se procedió con la conocida estrategia de AiTM (oponentes en el medio) y ha tenido como objetivos alcanzados a más de 10 mil organizaciones.

El ataque, recién anunciado, ha tenido una afectación sobre más de 10 mil organizaciones

La mecánica de este hackeo, como sucede de una u otra manera en el pishing, consiste en el secuestro de las credenciales para un posterior inicio de sesión y, ya de paso, para obtener las cookies que el usuario haya “dejado” durante su sesión. Una vez obtenida la información, sólo había que entrar en el correo electrónico de la persona en cuestión para cometer las fechorías cibernéticas correspondientes.

Se utiliza un servidor proxy para atacar al sitio al que se intenta acceder, tomando el control de este. Con las cookies robadas y el MFA sin alterar es muy sencillo autenticarse y conectarse al sitio. Con el AiTM lo que se buscaba era reconocer los espacios web con autentificación legítima incluso en los casos en los que los usuarios utilizasen la autentificación multifactor.

Y este es el problema, por así decirlo, porque a intentos de phishing nos enfrentamos todos a diario incluso sin saberlo. Pero la MFA resulta una medida de seguridad de gran eficacia que toda organización que deseaba tranquilidad implementa precisamente para huir del phishing y el robo de credenciales (¡curioso cuanto menos!).

Biden obliga a las agencias federales al uso de las MFA mientras que la Python Software Foundation recurre a ella mantener la seguridad de sus proyectos más críticos.

Estos datos pueden darte una idea de la importancia y, por supuesta, de la calidad de la seguridad del sistema, que ahora ha quedado en entredicho.

Microsoft, en sus documentos oficiales lanzados a modo de comunicado, nos cuenta que el sitio de phishing usó el proxy de la web de inicio de sesión de Azure AD de su objetivo. Con ello, se consigue que el usuario sea redirigido a la página legítima, donde y cuando se roba la información necesaria. El usuario entra al sitio phishing, se generan paquetes HTTP que se capturan y se envían al atacante.

¿Cómo protegerse del phishing?

Atendiendo al concepto de phishing, este no es más que hacerse pasar, de una u otro manera, por algo o alguien para obtener información o beneficio directo o indirecto del usuario afectado.

Para poder evitar estas tácticas, que todas las jornadas encontramos en nuestro correo (por lo menos yo), podemos considerar lo siguiente:

• Como bien ha indicado Microsoft monitorea tu correo electrónico, en especial si tienes cuentas de ámbito laboral.
• Considera, en tu lugar de trabajo que se busquen amenazas de manera previa, especialmente cuando se empieza a trabajar con un cliente o una página nueva.
• A nivel usuario, obviamente, no pulses sobre enlaces venidos de correos que digan ser oficiales de alguna página fiable. Te vas a dar cuenta muy rápido del fraude si te fijas en la dirección desde la que se te envía el correo (es muy parecida a la oficial, pero no idéntica, claro). Si de verdad se necesita realizar alguna acción por tu parte, ingresa en la web por tu cuenta, desde el buscador, nunca desde el correo.
• A veces no se te pide ingresar ningún dato electrónico como un usarname o un password sino que se demanda un número de teléfono para llamarte, geolocalizarte y tratar de acceder a tu equipo desde tu IP. Ídem que en el caso anterior. Ponte en contacto tú por tu cuenta y de manera externa al correo que te ha llegado.
• Otro truco para comprobar si un mensaje se dirige a ti o no es mirar los contactos destinatarios. Obviamente, si hay una lista sospechosa con decenas de usuarios, se trata de un correo enviado en masa a todas las direcciones que se tienen en una base de datos.
• Ojo porque esto ocurre también con mensajes de texto al móvil. Por ejemplo, te “recuerdan” citas en empresas multitudinarias donde es muy posible que, realmente, tengas una cita o, al menos te hayas interesado en ello. Para tratar la cita te hacen pinchar en un enlace, lo cual debes evitar. Y motivos hay muchos; hemos puesto este de ejemplo, pero el modus es ese, clicar en un enlace de una empresa que te recuerda o propone algo.
• Si llegases a acceder mediante un clic en el correo recibido, busca la certificación de la supuesta web a la que estás accediendo. Lo principal es que en la URL aparezca la S detrás de HTTP.
• Ojo con el correo basura. Si sabes que no te interesa (promociones, ofertas de tiendas, etc) o los destinatarios son desconocidos ni abras el correo.
• Si tienes duda, copia y pega en el buscador un pedazo de texto del correo. Google, o tu buscador predilecto, te van a marcar todos los sitios donde esas palabras están escritas tal cual, y muchos de ellos posiblemente sean webs de prevención de estafas.
• Un truco sencillo es pasar el ratón sobre el enlace a abrir SIN CLICAR. En la zona inferior dela ventana aparece el enlace exacto al que te va a llevar.
• Aunque sabemos que continuamente hay actualizaciones por realizar en tu ordenador, trata de tenerlo siempre actualizado. De no querer estar continuamente haciéndolo, al menos haz el update de las actualizaciones que son de seguridad.
• Utiliza un antivirus profesional por si por error has llegado a clickar algún enlace o has descargado algún archivo. Aunque este debería saltar automáticamente si hay peligro, no dudes en pasárselo al ordenador si tienes duda.
• Aunque no es algo exclusivo del phishing, acostúmbrate a usar la doble verificación. Así, si se intentase iniciar sesión con tus credenciales se te informaría telefónicamente.