Desafíos para la Autenticación Multifactor

Los delincuentes son resistentes e ingeniosos. Cuando la gente empezó a sentirse abrumada por la cantidad de contraseñas complejas que debía recordar, empezaron a guardarlas en “billeteras” de contraseñas, las cuales se convirtieron en el objetivo de los delincuentes. Lo mismo ha ocurrido con la MFA. Esta forma de autenticación, también conocida como autenticación de dos factores (2FA), añade una capa extra de seguridad a las cuentas y sistemas en línea, solicitando al usuario verificar su inicio de sesión con algo más que su contraseña. A medida que los usuarios confiaban cada vez más en la MFA como defensa contra posibles compromisos, los ciberatacantes comenzaron a dirigirse a los servicios de MFA, que estaban concentrados en un número limitado de intermediarios. Para contrarrestar esto, estamos introduciendo una nueva categoría de algoritmo en Threat Insight llamada Rapid Domain Triage. Con esta capacidad, los usuarios de BloxOne Threat Defense podrán bloquear automáticamente dominios sospechosos casi en tiempo real y recibir alertas sobre la actividad para remediar los ataques de manera más rápida.

Según informes de Infoblox y otros, los ataques de phishing a dominios MFA han aumentado significativamente en los últimos 15 meses, facilitados por herramientas asequibles disponibles en el mercado oscuro para llevar a cabo ataques de intercepción del medio (AiTM) a gran escala. Aunque los detalles pueden variar, un ataque MFA típico sigue este patrón:

• El atacante obtiene una lista de números de teléfono de sus objetivos.
• Registran un nombre de dominio similar a MFA, 2FA, Okta, Duo u otras palabras clave de verificación conocidas.
• Utilizan herramientas para enviar mensajes de texto SMS con algún mensaje urgente que pide al usuario que verifique sus credenciales de una cuenta.
• Cuando el usuario hace clic en el enlace, el atacante interactúa con él y intercepta los códigos MFA; incluso pueden llamar a la víctima para aumentar el engaño.
• El atacante transmite los códigos MFA al sistema real y obtiene acceso a la cuenta del usuario.
• A partir de ahí, los atacantes pueden llevar a cabo otros ataques para obtener un mayor acceso y aumentar sus privilegios, o simplemente robar información del usuario y continuar.

Estos ataques de phishing se dirigen tanto a consumidores como a empresas. Infoblox ha desarrollado algoritmos personalizados para detectar el registro y uso de dominios similares a MFA, y hemos observado ataques masivos a servicios bancarios y otras entidades financieras, así como ataques dirigidos a instituciones. Desde junio de 2022, hemos notado un aumento constante en estos ataques y detectamos cientos de nuevos dominios similares a MFA cada mes.

Detectamos decenas de estos dominios consultados en las redes de nuestros clientes cada mes. Aunque parezca un número pequeño, solo se necesita un solo ataque de phishing exitoso para comprometer una red. La empresa de software Retool reveló que un incidente similar ocurrió a finales de agosto de 2023, afectando a casi 30 de sus clientes de la nube. Retool proporcionó un relato detallado del hackeo. En el caso de Retool, una configuración de Google, originalmente diseñada como una característica de comodidad para los usuarios, permitió al atacante un acceso mucho más amplio a las redes internas de lo que habría logrado con un ataque de smishing estándar de AiTM. Retool señaló con razón que en este caso, la MFA ya no era autenticación multifactor, ya que el acceso a la cuenta de Google de un solo usuario proporcionaba acceso a todas las aplicaciones internas de ese usuario. Los hackers habían superado con éxito la autenticación MFA de la empresa y la sincronización MFA de Google.

Hemos notado que casi el 100% de los dominios similares a MFA son utilizados por el actor dentro de las 24 horas posteriores a su registro. Esto contrasta de manera sorprendente con la mayoría de los dominios de phishing que observamos, donde solo el 55% se utiliza el mismo día en que se registran.

Hace muchos años, los dominios de phishing se registraban y se utilizaban inmediatamente, y luego desaparecían casi con la misma rapidez, en un ciclo rápido. Sin embargo, la industria de la seguridad respondió desarrollando formas de bloquear dominios recién registrados y creando sistemas de escaneo que buscaban contenido activo de phishing basado en datos de registro.

Los phishers respondieron retrasando el uso de sus dominios, una práctica conocida como envejecimiento estratégico. Nuestros datos de los últimos 5 años han mostrado consistentemente una tendencia en el phishing hacia el envejecimiento estratégico, con más del 30% de los dominios observados por primera vez en campañas más de 3 días después del registro.

Si los phishers esperan para usar sus dominios, ¿por qué aquellos que usan imitaciones de MFA los usan en campañas inmediatamente? No lo sabemos con certeza, pero sospechamos que es un intento de sorprender a los sistemas de seguridad. A diferencia de los ataques de phishing comunes, los empleados de Retool fueron atacados utilizando información específica sobre la inscripción en atención médica de su empresa; esto se llama phishing.

Aunque las imitaciones genéricas de MFA son comunes, también detectamos una gran cantidad de dominios maliciosos que incluyen tanto una imitación de una empresa como un término asociado con MFA. A menudo, el nombre de la empresa se abrevia o se escribe mal. Las instituciones financieras y los proveedores de servicios de Internet son objetivos comunes de este enfoque. Si bien detectamos cientos de imitaciones de MFA cada mes, detectamos decenas de miles de imitaciones de empresas y servicios comerciales. Con frecuencia, los actores de amenazas, incursionarán en una variedad de métodos para explotar a los usuarios, incluidos dominios de phishing similares en general, así como phishing dirigido.

La gran cantidad de dominios similares que detectamos demuestra la carga que supone para los usuarios proteger tanto su hogar como su lugar de trabajo. Si bien algunos expertos en seguridad sostienen que los ataques exitosos resaltan la necesidad de una mayor vigilancia por parte de los usuarios, avergonzar a los usuarios por la falla de los sistemas de seguridad para protegerlos no es la respuesta.

“Infoblox ha implementado la detección de similitudes durante tres años y ha ajustado especialmente la detección de similitudes de MFA desde principios de este año para encontrar y bloquear los dominios antes de que afecten a nuestros clientes. Estamos constantemente perfeccionando nuestro enfoque y aprendiendo de eventos en los que no pudimos detectar actividad maliciosa”, señaló Ivan Sánchez, VP de LATAM de Infoblox.

Además de mensajes SMS, los ataques similares a MFA también se realizan de otras formas. Los correos electrónicos de phishing, los sitios web comprometidos y fraudulentos y la publicidad maliciosa son algunas de las formas en que un atacante puede entregar un enlace. A principios de este año, la Comisión de Ciberseguridad y Seguridad de Infraestructura de EE. UU. (CISA) publicó un aviso conjunto de ciberseguridad sobre una campaña de phishing que involucra el uso malicioso de software legítimo de monitoreo y administración remota (RMM). En esos incidentes, el atacante solicitaba al usuario que ingresara un dominio similar por teléfono en un navegador web. ¡Hay muchas formas de engañar a un usuario para que visite un dominio!

Ya sea que reciba un aviso de MFA como consumidor o empleado, sea escéptico si hay algo inusual al respecto. Los delincuentes tienen todo el día para pensar en nuevas formas de engañarte, por lo que es importante estar siempre alerta. Al mismo tiempo, nosotros en la industria de la seguridad no deberíamos participar en culpar a las víctimas. Nuestro trabajo es mejorar constantemente nuestras habilidades para frustrar automáticamente a los malos e intentar darles la vuelta. Con los imitadores de MFA y el amplio impulso para adoptar la tecnología, también les hemos brindado una forma de centrar su atención.

Nos alertamos por el uso de dominios similares a MFA inmediatamente después de su registro para ataques de phishing. Si bien estos ataques son raros, cuando tienen éxito pueden ser profundamente dañinos. Nos dimos cuenta de varios casos en los que marcamos un dominio como sospechoso unas horas después del ataque. Afortunadamente, BloxOne Threat Defense de Infoblox incluye un módulo clave llamado Threat Insight, que ha estado detectando amenazas de exfiltración de datos y algoritmo de generación de dominio (DGA) casi en tiempo real desde 2015, brindando a nuestros clientes una detección de amenazas adaptada específicamente a su red.