Aumento de kits de phishing para bypassear 2FA

Un equipo de investigadores descubrió miles de kits de herramientas de phishing con la capacidad de interceptar códigos de seguridad 2FA y eludir la seguridad.

Los kits de herramientas de phishing Man-in-the-Middle (MitM) se han vuelto más populares en los últimos años.

Investigadores de seguridad descubrieron más de 1.200 de estos conjuntos de herramientas en uso. Una razón de esta tendencia al alza es que la mayoría de las empresas están incorporando 2FA como seguridad predeterminada.

En concreto, los atacantes están utilizando nuevas herramientas para robar las cookies de autenticación de los usuarios, que son -básicamente- archivos creados en un navegador web cada vez que un usuario inicia sesión en una cuenta después del proceso del multifactor de autenticación.

Otra técnica descubierta es que los piratas informáticos interceptan estas cookies de autenticación mientras se encuentran en tránsito desde el proveedor de servicios al dispositivo de un usuario (también conocido como MitM), por lo que -en este caso- no se utilizaría el malware para infectar el equipo.

Phishing en tiempo real frente a MitM

El phishing en tiempo real es un caso en el que un operador se sienta frente a un panel web cuando un usuario está interactuando con un sitio de phishing. Cuando llega el momento de ingresar códigos 2FA, los actores de amenazas solicitan al usuario el código 2FA real, por correo electrónico, SMS o aplicación de autenticación.

Los piratas informáticos recopilan el token 2FA y lo utilizan en el sitio real, estableciendo una conexión indirecta pero legítima entre su sistema y la cuenta de la víctima.

La piratería en tiempo real es utilizada para ingresar a sitios de banca en línea, ya que las sesiones de inicio de sesión de los usuarios tienden a agotarse rápidamente y cada intento de reautenticación requiere otro código 2FA.

Pero todo cambia cuando los usuarios cuentan con reglas más relajadas sobre las sesiones de inicio. En este caso los ataques de phishing MitM son adecuados.

Los piratas informáticos utilizan kits de phishing para transmitir el tráfico entre el sitio de phishing, la víctima y el servicio genuino.