Los atacantes cibernéticos parecen haber encontrado maneras cada vez más eficientes de cometer sus delitos en la nube, llegando a causar grandes estragos antes de ser descubiertos.
Hace poco Microsoft advirtió sobre la existencia de una campaña de phishing, desplegada a gran escala, que se sirve de una estrategia conocida como adversarios en el medio o AiTM, la cual se estima ha perjudicado a más de 10 mil organizaciones en un periodo que inicia desde septiembre del año pasado.
En ese sentido, AiTM posee una mecánica que le permite secuestrar la sesión de un usuario de manera que luego puedan usar sus credenciales y las cookies de sesión para ingresar en su correo electrónico y cometer fraude.
Bajo la estrategia AiTM, los sitios web de phishing son capaces de evadir la autenticación en los sitios web legítimos, aun y cuando el usuario haya activado la autenticación multifactor (MFA).
Esto último resulta preocupante tomando en cuenta que hasta el momento el MFA resultaba una medida de seguridad efectiva usada por las organizaciones para resguardarse de ataques phishing, así como del robo de credenciales.
En ese sentido, la administración del presidente Biden en Estados Unidos ordenó a las agencias federales de este país a adoptar el MFA, mientras que otras como la Python Software Foundation están usando la MFA para mantener a salvo sus proyectos críticos.
Una vez que son desplegados, los ataques phishing AiTM utilizan un servidor proxy para interponerlo entre el objetivo y el sitio web legitimo al cual este intenta acceder, de manera que el atacante tome el lugar del sitio web en cuestión.
Durante esta acción el MFA no sufre perturbación alguna, de modo que el atacante pueda hacer uso de la cookie robada para autenticarse y conectarse al sitio.
En los ataques descritos por Microsoft el sitio web phishing proxyaba la página de inicio de sesión de Azure Active Directory (Azure AD) del objetivo. Esto hacía que tras introducir las credenciales y autenticarse, el usuario fuera redirigido a la página legitima, momento que era aprovechado por el atacante para obtener las credenciales y autenticarse haciéndose pasar por el usuario.
De esa manera cuando el usuario ingresa en el sitio web phishing los paquetes HTTP que genera son capturados por el servidor web del atacante que luego son enviados a un servidor objetivo manejado también por este atacante.
Si bien este tipo de ataques puede resultar difícil de detectar por las organizaciones, Microsoft aconseja llevar a cabo la configuración del acceso condicional en Azure AD, lo cual podría ayudar un poco a reducir su acción.
Así también, Microsoft recomendó mantener supervisado el correo electrónico, así como buscar amenazas de phishing en sitios web entrantes.