This post is also available in: Português Español
Los ciberdelincuentes aprovechan todos los artificios posibles para realizar sus ataques y golpes. Recientemente, han descubierto una nueva forma de acceder a datos confidenciales a través del phishing con consentimiento.
¿Qué es el phishing con consentimiento?
Según Microsoft, actualmente, los desarrolladores están creando aplicaciones que integran los datos de los usuarios de la organización y de la nube para mejorar y personalizar sus experiencias.
Estas plataformas en la nube son ricas en datos, pero atraen a personas malintencionadas que buscan un acceso injustificado a esos datos, lo que favorece los ataques.
Uno de estos ataques es el llamado phishing con consentimiento, en el que los ciberdelincuentes inducen a los usuarios a conceder a una aplicación maliciosa el acceso a datos sensibles u otros recursos.
En lugar de intentar robar la contraseña del usuario, el atacante está buscando permiso para que una aplicación controlada por los atacantes acceda a datos valiosos.
¿Cómo actúan los ciberdelincuentes en este ataque?
Los ataques tienden a variar, sin embargo, las etapas del ataque parecieran ser un tanto repetitivas y generalmente siguen esta línea:
- El invasor registra la aplicación con un proveedor OAuth 2.0, como Azure Active Directory.
- La aplicación está configurada de forma que parezca fiable, utilizando el nombre de un producto popular utilizado en el mismo ecosistema.
- El intruso envía un enlace a los usuarios, lo que suele hacerse a través de un phishing convencional basado en el correo electrónico, usando un sitio web no malicioso, entre otras técnicas.
- Al hacer clic en el enlace, se presenta al usuario una solicitud de consentimiento auténtico, en la que se le pide que conceda el acceso a los datos.
- Desde el momento en que el usuario hace clic en aceptar, le concede a la aplicación permiso para acceder a datos confidenciales y valiosos.
- La aplicación obtiene un código de autorización que canjea por un token de acceso y un token de actualización.
- El token de acceso se utiliza para realizar llamadas a la API en nombre del usuario.
Si el usuario acepta, el atacante puede obtener acceso a sus mensajes, reglas de enrutamiento, archivos, contactos, notas, perfil y otros datos y recursos confidenciales.
Por ejemplo, mire como aparece la pantalla de consentimiento de una aplicación maliciosa llamada “App Risky”:
Fuete: Microsoft, 2020.
Microsoft desmonta la infraestructura de ataque
Además del ataque de phishing con consentimiento, Microsoft también desmanteló la infraestructura de los ciberdelincuentes involucrados en otras campañas de phishing importantees.
A mediados de marzo, Microsoft asumió la infraestructura de la red de bots de spam estadounidense que Nercurs que era usada para infectar millones de ordenadores con cargas útiles de malware. Se trataba de la mayor red de bots de spam del momento, y Microsoft logró desbaratarla con éxito.
En julio, Microsoft anunció que había tomado el control de los principales dominios de la infraestructura utilizada en un nuevo y sofisticado esquema de phishing diseñado para comprometer las cuentas de los clientes de Microsoft mediante trampas relacionadas al COVID-19.
Protéjase contra los ataques de phishing con consentimiento
Los usuarios de Microsoft ya cuentan con la seguridad que ofrece la compañía. Esta captura las señales, identifica y actúa para arreglar las aplicaciones maliciosas, desactivándolas e impidiendo que los usuarios accedan a ellas.
Microsoft invierte en formas de garantizar que su ecosistema de aplicaciones sea seguro y fiable.
Sin embargo, los atacantes son persistentes y no se rinden fácilmente. Por eso hay que seguir algunas prácticas para que usted y su organización estén más seguros.
Es importante asegurarse de que la ortografía y la gramática sean correctas o no. Si un mensaje de correo electrónico o la pantalla de consentimiento de la aplicación muestran errores ortográficos y gramaticales, probablemente se trate de una aplicación sospechosa.
También esté a los nombres de las aplicaciones y las URL de los dominios. Los ciberdelincuentes falsifican nombres de aplicaciones que parecen proceder de aplicaciones o empresas legítimas.
Asegúrese de reconocer el nombre de la aplicación y la URL del dominio antes de aceptar los términos y consentir una aplicación.
Si usted es líder en una organización, instruya a sus empleados para que sigan estos pasos.
Como hemos visto, el aumento del uso de aplicaciones en la nube nos muestra la necesidad de mejorar la seguridad de las aplicaciones y la atención antes de aceptar las condiciones de cualquier aplicación que no sea de plena confianza. Porque, sin saberlo, podemos dar a los ciberdelincuentes acceso a datos sensibles.
¿Le gustó el artículo? Profundice en el phishing para entender mejor en qué consiste este tipo de ataque y cómo protegerse.
Fuente: CYWARE.
This post is also available in: Português Español