De esta forma funciona el phishing masivo que ha descubierto Microsoft y que presenta nuevas técnicas que ha atacado a más de 10.000 organizaciones

Microsoft ha descubierto una campaña de phishing a gran escala que utilizaba sitios de phishing del tipo «adversario en el medio»,  estos atacantes robaban contraseñas, secuestraban la información de inicio de sesión de un usuario y se saltaban el proceso de autenticación incluso si el usuario había activado la autenticación multifactor (MFA).

Después de este primer paso, los atacantes utilizaban las credenciales robadas y las cookies de la sesión para acceder a los correos electrónicos de los usuarios afectados y llevar a cabo campañas de BEC O Business Email Compromise, por sus siglas en inglés (es decir, comprometer el correo electrónico comercial contra otros objetivos). Lo que se conoce hasta ahora es que la campaña de phishing AiTM intentó atacar a más de 10.000 organizaciones desde septiembre de 2021.

Microsoft ve que aunque la autenticacicón multifactor llegó al mercado como una solución a los problemas de seguridad, ya que ofrece una capa de seguridad adicional contra el robo de credenciales, «los atacantes también están encontrando nuevas formas de eludir esta medida de seguridad».

-¿Cómo se realiza un phishing AiTM?

En el phishing AiTM, los atacantes despliegan un servidor proxy entre un usuario objetivo y el sitio web que el usuario desea visitar (es decir, el sitio que el atacante desea suplantar). Esta configuración permite al atacante robar e interceptar la contraseña y la cookie de sesión que demuestra su sesión actual y autenticada con el sitio web.

Aclara Microsoft que «como el phishing AiTM roba la cookie de sesión, el atacante se autentifica en una sesión en nombre del usuario, independientemente del método de inicio de sesión que utilice». En la siguiente imagen un ejemplo de «landing page» o página que es falsa donde un usuario puede introducir sus credenciales y los creadores del phishing pueden robar la información:

Microsoft dice que para protegerse aún más de ataques similares, las organizaciones deberían considerar la posibilidad de complementar la AMF con políticas de acceso condicional, en las que las solicitudes de inicio de sesión se evalúan utilizando señales adicionales basadas en la identidad, como la pertenencia al usuario o al grupo, la información de la ubicación IP y el estado del dispositivo, entre otras.

El phishing AiTM no es nuevo, como detalla Microsoft, pero sí muy poco conocido. Hay que tener en cuenta que los servicios de web modernos están implementando una sesión con un usuario después de la autenticación para que el usuario no tenga que autenticarse en cada nueva página que visite. Esta funcionalidad de sesión se implementa a través de una cookie de sesión proporcionada por después de la autenticación inicial.

Una cookie de sesión almacena información sobre la sesión actual donde está un usuario. Como explican desde Ionos, por ejemplo, si en una tienda en línea colocas varios productos en el carrito, estos se guardarán hasta que se cierre la sesión. Durante la misma también se almacena otro tipo de información, como los datos de inicio de sesión o los formularios en línea ya cumplimentados.

La cookie de sesión es una prueba para el servidor web de que el usuario ha sido autenticado y tiene una sesión en curso en el sitio web. En el phishing AiTM, un atacante intenta obtener la cookie de sesión de un usuario objetivo para poder saltarse todo el proceso de autenticación y luego poder actuar en su nombre.

Con esto, el atacante despliega un servidor web proxy y el portal de phishing que se muestra al usuario es visualmente idéntico al sitio web original. El atacante tampoco necesita elaborar su propio sitio de phishing como se hace en las campañas de phishing convencionales. La URL es la única diferencia visible entre el sitio de phishing y el real.