Ideas, información y conocimientos compartidos por el equipo
de Investigación, Desarrollo e Innovación de BASE4 Security.
Ideas, información y conocimientos compartidos por el equipo
de Investigación, Desarrollo e Innovación de BASE4 Security.
volver
COMPARTIR
Phishing, MFA y otros condimentos
Durante los últimos años hemos dado grandes pasos en la protección de nuestro ecosistema digital, y en ese sentido se puede decir que hemos madurado. La ciberseguridad ha dejado de ser una opción para ser mandatoria en la mayoría de los entornos.
Esta maduración nos ha permitido elevar los requerimientos mínimos de seguridad para un sistema, y es ahí donde podemos reconocer 2FA como una medida más que ha sido adoptada para la autenticación . En este post exploraremos un poco ese contexto para responder la pregunta: ¿Estamos haciendo seguridad o estamos cumpliendo solamente con lo mínimo?
Un malo conocido, siempre en el medio
Al acercarnos a las técnicas de Phishing , desde hace tiempo que nos quedamos bastante cortos al solo vincularlo con correos electrónicos especialmente diseñados, porque ese “ arte del engaño ” se ha encontrado, justamente, con nuestro esfuerzo de aplicar medidas de protección tal como el 2FA, y esto ha impulsado el interés de los ciberdelincuentes por saltar estas medidas (en un post anterior contamos algunas estrategias de 2FA bypass ).
Es así como AiTM (Adversary In The Middle) ha tomado especial relevancia en el último tiempo. En esta técnica el atacante hará las veces de proxy para mostrarnos un servicio real y obtener en el proceso nuestros datos. Es de esta forma, en que ya no importan cuantos factores de autenticación se utilicen, estos serán interceptados y luego reenviados al servicio en el que confiamos, la autenticación se realiza transparente para el usuario.
Envueltos una vez más
En esta maduración en ciberseguridad, no están exentas las personas , a través de la concientización hemos adquirido herramientas para responder mejor a los casos de phishing. Miramos con más atención en dónde estamos ingresando nuestros datos, pero es ahí donde los ciberdelincuentes se han enfocado y han explotado esa confianza diseñando nuevas técnicas para envolvernos en el engaño.
Un sitio web, al final del día, no es más que un conjunto de elementos visuales para ofrecernos algo que queremos (o no). Hemos aprendido a confiar en aquella barra superior en donde encontramos la URL , pero como sucede en un sueño dentro de otro sueño, ¿Cómo podemos reconocer que aún no estamos dentro del sitio web? BitB (Browser In The Browser) ha sido una técnica específicamente diseñada para mostrarnos un entorno real y válido, dentro de un sitio web malicioso. Esto permite, como un juego de niños, generar todos los elementos de un sitio real (incluso la exploración del certificado digital) dentro del contexto del sitio web del atacante.
La implementación básica de este ataque consiste en el diseño de una estructura idéntica a la reconocida en el sitio real, pero dentro del sitio controlado por el atacante, en un ejemplo simple:
Estas dos técnicas integradas en una campaña de phishing pueden verse esquematizadas de la siguiente manera:
Podemos ver que el grado de complejidad aumenta para los atacantes, y como a todo problema, también le han buscado una solución, o la han comprado.
Vulnerados por un servicio
PhaaS (Phishing as a Service) ha surgido como una respuesta para los atacantes. Son plataformas con interfaz intuitiva, simples de desplegar y de “bajo costo” que han puesto en manos de criminales menos experimentados técnicamente las herramientas para distribuir campañas de phishing efectivas. Esto puede incluir kits de phishing personalizables, urls dinámicas, payloads y seguimiento de actividades .
Una de las campañas recientemente investigadas por el equipo de analistas de Mandiant hacen uso de una plataforma llamada “ Caffeine ”. Esta plataforma contaba con la particularidad de permitir un registro abierto solo con una dirección de correo (a diferencia de otras en donde había otros requisitos). Además, la plataforma incluía en sus modelos objetivos rusos y chinos, algo poco común. Este servicio, además, contaba con montones de técnicas que permitían evadir las detecciones.
Es claro que este tipo de plataformas ponen en manos malintencionadas un conjunto de herramientas para facilitar este tipo de ataques . ¿Cómo protegemos nuestro entorno entonces? Sabiendo que las técnicas de phishing que utilizan AiTM deja obsoleto los factores de autenticación que hacen uso de OTPs (One time password) entregados típicamente por mail, SMS, etc., es necesario utilizar otro tipo de MFA “a prueba de phishing”.
Podemos encontrar en ese campo, por ejemplo, los tokens por hardware (los cuales vinculan concretamente al dispositivo accediendo al servicio dentro del mismo contexto que el hardware token), implementaciones del estándar FIDO de autenticación y modelos como la autenticación de “Acceso condicional” de Microsoft.
Discusión
Más allá de las medidas adoptadas en la autenticación, es claro que hay una nueva y emergente necesidad de “capacitar la conciencia” de las personas en materia de ciberseguridad para poder responder de forma más natural a este tipo de amenazas. No todas las variantes de phishing tendrán como objetivo el proceso de autenticación. En un próximo post analizaremos distintos métodos MFA alrededor de la autenticación a prueba de Phishing, en particular el estándar FIDO.