¿Has oído hablar del ataque AiTM (adversary-in-the-middle)? Tenga en cuenta que este tipo de phishing puede eludir las medidas de seguridad, como la autenticación multifactor (MFA), y supone un gran riesgo para las organizaciones.
Recientemente, Microsoft reportó una alerta sobre una campaña de phishing que afectó a más de 10.000 organizaciones, los ataques duraron meses y perjudicaron principalmente a las empresas bancarias.
Estas campañas de phishing son capaces de eludir la autenticación MFA y robar las credenciales de los usuarios, incluso si habilitan la autenticación multifactor.
Estos ataques son capaces de secuestrar la sesión de inicio de sesión de un usuario, además del uso de credenciales robadas y cookies de sesión, con esto tienen acceso al correo electrónico de las víctimas a través del fraude de compromiso de correo electrónico corporativo.
La MFA es una de las principales formas de protegerse contra los ataques de phishing, pero esta medida de seguridad no parece suficiente.
De esta manera, es fundamental que todos sepan cómo protegerse e identificar estos ataques, porque cuando los sistemas de verificación fallan, solo las personas son capaces de mitigar estos riesgos.
Vea a continuación cómo ocurren estos ataques y cómo puede proteger a su organización, después de todo, AiTM es un gran riesgo para todas las instituciones, ya sean pequeñas, grandes o medianas.
¿Qué es un ataque AiTM y cómo funciona?
Los ataques de phishing AiTM despliegan un servidor proxy entre la víctima y el sitio web que la persona pretende visitar, este servidor es administrado por los delincuentes.
De esta manera, los atacantes utilizan este ataque para:
Robar contraseñas;
Secuestrar sesiones de inicio de sesión;
Eludir la autenticación;
Robar credenciales de acceso;
Usar el buzón de correo de la víctima para lanzar ataques de fraude.
Es importante que entiendas que no es que MFA no funcione, al fin y al cabo, es un dispositivo de seguridad muy eficaz.
Sin embargo, en estos ataques, debido a que la cookie de sesión del navegador fue robada, no importa si la persona inició sesión en un sitio web, el atacante se autenticará debido a la cookie que fue robada.
Los ataques ocurren como cualquier phishing, a través de mensajes recibidos a través de correos electrónicos.
Los mensajes pueden tener varios enfoques, en el caso de los ataques de Microsoft, se identificó un correo electrónico que afirmaba que la persona tenía un mensaje de voz. El archivo adjunto tenía una extensión HTML, por lo que se abría directamente en el navegador.
De esta manera, la página mostraba una advertencia de que se estaba descargando el archivo MP3, pero en realidad, era una advertencia falsa, lo que sucedía era que la página estaba siendo redirigida al sitio proxy.
La apariencia de este sitio proxy es muy similar a la página de inicio de sesión de Microsoft, lo que hace que el ataque sea más efectivo, después de todo, las víctimas no sospecharon que se trataba de phishing.
Es precisamente en este momento que se lleva a cabo el ataque AiTM, ya que las personas no se dan cuenta de la estafa, inician sesión y sus datos y autenticación son enviados por el servidor proxy al sitio web real del Office.com, de esta manera se realiza la verdadera autenticación.
Mientras tanto, en segundo plano, el servidor captura las cookies de sesión enviadas por el servicio de Microsoft.
Una vez hecho esto, los atacantes tienen todos los datos necesarios para llevar a cabo las estafas. Al fin y al cabo, con las cookies en la mano, tienen acceso a las cuentas de correo electrónico, sin tener que pasar por ningún tipo de autenticación.
Consecuencias de estos ataques
Debido a que es un ataque tan sofisticado que pasa desapercibido para las personas, AiTM es muy dañino para las empresas, ya que tiene el poder de apuntar a miles de cuentas.
En el caso de Microsoft, por ejemplo, los atacantes pudieron acceder a los correos electrónicos de los empleados de varias empresas para defraudar los pagos.
En algunos casos, construyeron mecanismos en sus cuentas para mover automáticamente ciertos mensajes a la papelera, para que la gente no pudiera darse cuenta de los malos resultados.
Estos ataques duraron meses y causaron una gran pérdida financiera a las organizaciones, porque cuando se dieron cuenta del problema, los delincuentes ya habían cometido varias estafas.
Al igual que cualquier campaña de phishing y ciberataques, AiTM ofrece consecuencias devastadoras para las organizaciones, afectando el funcionamiento, la reputación y, especialmente, el problema financiero.
La pérdida económica va mucho más allá de las cantidades interceptadas por los delincuentes, ya que implica costes para remediar los ataques, además de multas y demandas por la violación de datos.
Otro punto importante al que se debe prestar atención es con respecto a la reputación de estas organizaciones, después de todo, una violación de datos puede sacudir la confianza de clientes e inversores.
Esto perjudica la lealtad de los clientes y la imagen de marca a largo plazo. Además, puede influir negativamente en el valor de las acciones de la empresa, lo que afecta a los inversores y a la salud financiera de las organizaciones.
Por lo tanto, es esencial invertir en medidas de seguridad sólidas para reducir el riesgo y estar preparado para responder de manera efectiva a posibles incidentes.
¿Aprenda a protegerse de los ataques de AiTM?
Por mucho que se trate de un ataque complejo, sepa que hay formas de protegerse de AiTM, el gran problema de este problema es sin duda la concienciación, porque solo ella es capaz de reducir los riesgos.
Al fin y al cabo, estos ataques están dirigidos a las personas, por lo que deben saber cómo protegerse de estas estafas.
La autenticación de dos factores es muy importante, tiene el poder de combatir una variedad de ataques y ayudar en la seguridad de los datos de cada organización. Sin embargo, no debería ser la única alternativa.
Debe crear una política de seguridad de datos y hacer que las personas entiendan que son responsables de la seguridad de los datos de su organización.
Cuando sus empleados entienden que son un fuerte vínculo entre su organización y la seguridad de la información, se dan cuenta de la responsabilidad que tienen de garantizar la ciberseguridad de todos.
Todo el mundo necesita saber identificar qué correos electrónicos son reales y cuáles son falsos, esta tarea es algo compleja, después de todo los ciberdelincuentes hacen todo lo posible para que las páginas sean lo más reales posible.
Sin embargo, hay algunas señales que indican que ese correo electrónico es una estafa, la identificación de esta información solo es posible a través de diversas capacitaciones y la aculturación de los empleados en torno a la seguridad digital.
Es importante que entiendas que las herramientas y los sistemas son importantes para garantizar la seguridad de tu organización, sin embargo, por sí solos no son tan efectivos. La gente necesita saber cómo protegerse.
PhishX como aliado contra los ataques AiTM
PhishX es una solución de concienciación sobre ciberseguridad, somos un ecosistema que permite a las empresas formar a sus empleados y clientes.
Uno de los objetivos de nuestras soluciones es ayudar a las personas a identificar y protegerse de los ataques de phishing.
De esta manera, PhishX simula ataques de phishing controlados, y es capaz de educar a las personas para que sepan cómo identificar y responder a estas amenazas. Ofrecemos capacitación, pruebas e informes.
Nuestro ecosistema permite a las empresas crear campañas, como los ataques AiTM, por lo que los empleados tendrán formación previa sobre esta amenaza y si se produce el ataque, todos podrán identificarlos.
La concientización es la acción más efectiva para estos ataques, después de todo, las personas muchas veces no reconocen una amenaza debido a la falta de conocimiento, por lo que es muy importante educarlos sobre las principales estafas cibernéticas.
Además, nuestra solución ofrece el informe de todas las campañas, por lo que el equipo de Tecnologías de la Información tendrá datos de cuántas personas cayeron en estas simulaciones.
Estos indicadores son importantes para medir la madurez de las personas y conocer el riesgo real de estos ataques. A través de esta información, es posible intensificar las acciones para combatir estos ataques.
Los ataques AiTM son un tipo de phishing muy sofisticado diseñado para eludir incluso la autenticación multifactor, lo que dificulta mucho el proceso de identificación.
De esta manera, cuando las personas no son conscientes de las tácticas utilizadas por los delincuentes, se convierten en objetivos más fáciles.
Porque, incluso con las mejores soluciones de seguridad, las personas aún pueden ser engañadas por correos electrónicos convincentes, páginas falsas y solicitudes que parecen genuinas. Es por eso que la concientización es fundamental para todas las organizaciones.
Por lo tanto, si tienes una organización, ya sea pequeña, mediana o grande, y entiendes que proteger tus datos y la reputación de tu marca es importante, considera implementar una política de seguridad efectiva.
PhishX puede ayudarlo a implementar una estrategia de protección de datos y crear conciencia sobre la seguridad digital. De esta manera, podrás involucrar a tus empleados en la aculturación de la seguridad de la información.
Proteja su empresa contra ataques AiTM y otras formas de phishing, conozca nuestras soluciones y aprenda cómo PhishX puede ayudarlo.
Comments