Microsoft advierte a las organizaciones sobre ataques de phishing de consentimiento

por

En este tipo de campaña de phishing, los atacantes engañan a las personas para que den su consentimiento a una aplicación maliciosa para acceder a datos confidenciales, dice Microsoft.

suplantación de identidad

Imagen: weerapatkiatdumrong, Getty Images / iStockphoto

Las campañas de phishing son una táctica común en la que los ciberdelincuentes se hacen pasar por una empresa, un producto o una marca reconocidos para robar credenciales de cuentas, información financiera u otros datos de víctimas desprevenidas. Un ataque de phishing típico convence al usuario de ingresar directamente su contraseña y sus credenciales de inicio de sesión, que luego son capturadas por el atacante.

Pero un tipo de campaña más especializada conocida como suplantación de identidad por consentimiento tiene como objetivo capturar datos confidenciales no enganchando su contraseña sino engañándolo para que otorgue los permisos necesarios a una aplicación maliciosa. UN Publicación de blog de Microsoft publicada el miércoles explica cómo funciona.

VER: Lucha contra los ataques de phishing en las redes sociales: 10 consejos (.) (TechRepublic)

Este tipo de phishing de consentimiento se basa en OAuth 2.0 tecnología de autorización. Al implementar el protocolo OAuth en una aplicación o sitio web, un desarrollador le da al usuario la capacidad de otorgar permiso a ciertos datos sin tener que ingresar su contraseña u otras credenciales.

Utilizado por una variedad de empresas en línea, incluidas Microsoft, Google y Facebook, OAuth es una forma de intentar simplificar el proceso de inicio de sesión y autorización para aplicaciones y sitios web a través de un mecanismo de inicio de sesión único. Sin embargo, como ocurre con muchas tecnologías, OAuth se puede utilizar tanto con fines beneficiosos como maliciosos.

Microsoft detalla el problema paso a paso en su publicación de blog:

  1. Un atacante registra una aplicación con un proveedor OAuth 2.0, como Azure Active Directory.
  2. La aplicación está configurada de una manera que la hace parecer confiable, como usar el nombre de un producto popular utilizado en el mismo ecosistema.
  3. El atacante obtiene un enlace frente a los usuarios, lo que puede realizarse mediante suplantación de identidad convencional basada en correo electrónico, poniendo en peligro un sitio web no malicioso o mediante otras técnicas.
  4. El usuario hace clic en el enlace y se le muestra un mensaje de consentimiento auténtico pidiéndole que otorgue permisos a los datos de la aplicación maliciosa.
  5. Si un usuario hace clic en Aceptar, otorga permisos a la aplicación para acceder a datos confidenciales.
  6. La aplicación obtiene un código de autorización, que canjea por un token de acceso y, potencialmente, un token de actualización.
  7. El token de acceso se utiliza para realizar llamadas a la API en nombre del usuario.
  8. El atacante puede entonces obtener acceso al correo del usuario, reglas de reenvío, archivos, contactos, notas, perfil y otros datos confidenciales.
contenido-phishing-microsoft.jpg

Pantalla de consentimiento de una aplicación maliciosa de muestra llamada “Aplicación arriesgada”.

Imagen: Microsoft

“Se ha abusado de OAuth desde que se implementó por primera vez y su abuso solo se está acelerando ahora que se está implementando ampliamente”, dijo a TechRepublic Roger Grimes, evangelista de defensa impulsada por datos en KnowBe4. “En general, solo los piratas informáticos abusan de un único punto de falla. Siempre que los usuarios usan una tecnología de inicio de sesión único, los atacantes abusarán de ella. Ahora que cientos de millones de usuarios la usan sin saber realmente qué es, lo convierte en más fácil de abusar “.

La explotación de una tecnología como OAuth tiene éxito en gran parte debido a la falta de conocimiento y conciencia del usuario.

“Parte del problema es que la mayoría de los usuarios no comprenden lo que está sucediendo”, dijo Grimes. “No saben que un inicio de sesión que han usado con Gmail, Facebook, Twitter o algún otro proveedor de OAuth ahora está siendo automáticamente llamado y usado o abusado por otra persona. Tampoco entienden las indicaciones de permiso. Todo lo que saben es que hicieron clic en un enlace de correo electrónico o un archivo adjunto y ahora su sistema informático les pide que confirmen alguna acción que realmente no comprenden “.

Microsoft promocionó algunos de los pasos que ha tomado para tratar de prevenir este tipo de comportamiento malicioso. La compañía dijo que usa herramientas de seguridad como administración de identidad y acceso, administración de dispositivos, protección contra amenazas y seguridad en la nube para analizar millones de puntos de datos para ayudar a detectar aplicaciones maliciosas. Además, Microsoft está tratando de proteger mejor sus ecosistemas de aplicaciones al permitir que los clientes establezcan políticas sobre los tipos de aplicaciones a las que los usuarios pueden dar cierto consentimiento.

A pesar de los esfuerzos de Microsoft y otras compañías, estos ataques persisten mientras los ciberdelincuentes van un paso por delante del juego. Para ayudar a protegerse contra las campañas de suplantación de identidad por consentimiento, Microsoft ofrece consejos para personas y organizaciones.

Para individuos:

  • Revise la ortografía y la gramática. Si un mensaje de correo electrónico o la pantalla de consentimiento de la aplicación tiene errores ortográficos y gramaticales, es probable que sea una aplicación sospechosa.
  • Esté atento a los nombres de las aplicaciones y las URL de los dominios. A los atacantes les gusta falsificar los nombres de las aplicaciones que hacen que parezca que provienen de aplicaciones o empresas legítimas, pero lo llevan a dar su consentimiento para una aplicación maliciosa. Asegúrese de reconocer el nombre de la aplicación y la URL del dominio antes de dar su consentimiento para una aplicación.

Para organizaciones:

Microsoft también recomendó a las organizaciones interesadas que verifiquen su documentación en “Detectar y remediar las subvenciones por consentimiento ilícito“y”Cinco pasos para proteger su infraestructura de identidad. “

Grimes también ofreció tres consejos para los desarrolladores de aplicaciones y sitios web que usan OAuth:

  1. Haga que las solicitudes de permiso sean mucho más comprensibles al usuario final ocasional. Por ejemplo, incluya un mensaje que diga: “Si dice que está bien, le está dando a este tercero control total sobre todos los documentos que puede ver, así que asegúrese de confiar en la persona que lo solicita. La solicitud puede ser maliciosa”.
  2. De alguna manera, haz que el sistema sea lo suficientemente inteligente para tomar la decisión de riesgo en nombre del usuario para que un usuario no capacitado en seguridad informática no tenga que tomar decisiones de seguridad informática.
  3. No permita que se tomen decisiones de alto riesgo, especialmente de forma predeterminada y muy fácil. El sistema debe tener el permiso menos permisivo y hacer que el usuario se desvíe de su camino para entregar las llaves del reino.

“Si no puede hacer una de estas tres cosas”, agregó Grimes, “nunca detendrá los ataques de OAuth”.

Sigue navegando por nuestra web viendo más artículos.

Publicaciones relacionadas:

  1. Organizaciones que enfrentan casi 1200 ataques de phishing cada mes
  2. Los ataques de phishing y ransomware son las amenazas más desafiantes para muchas organizaciones
  3. Microsoft ahora es la marca más imitada en ataques de phishing
  4. Ataques de phishing que se esconden en Google Cloud para robar las credenciales de la cuenta de Microsoft

Deja un comentario