SE Labs recomendó a los CISO que intensificaran sus esfuerzos contra los ataques a sistemas protegidos por MFA en respuesta al aumento de la actividad de los atacantes para explotar los puntos de falla.
Como suele ocurrir cuando se comprometen sistemas, los atacantes no han reinventado la rueda para eludir MFA o 2FA (autenticación de dos factores), como también se la conoce. Los métodos de la vieja escuela de ingeniería social , malware y phishing están funcionando bien.
La buena noticia es que muchos ataques se pueden defender con una fuerte aplicación de políticas, una sólida protección de los terminales y educación de los usuarios. Desafortunadamente, dado que muchos usuarios corporativos y domésticos creen que la MFA es prácticamente irrompible, son potencialmente el eslabón más débil de las defensas de una empresa.
«MFA sigue siendo una de las mejores medidas de seguridad que la gente puede usar desde que se inventó la contraseña, pero a medida que las organizaciones refuerzan sus defensas al implementarla, los atacantes están cambiando de táctica y trabajando duro para encontrar formas de evitarla», dice Simon Edwards , director ejecutivo de Laboratorios SE. «Como parte de la necesidad de garantizar mejoras continuas en sus sistemas, los CISO deberían tomar nota de las crecientes amenazas contra MFA, en particular deberían intentar actualizar y alejarse de la autenticación de estilo SMS».
Cómo los atacantes eluden MFA
El método ‘Aprobar inicio de sesión’ de MFA es muy popular entre los usuarios porque es un simple clic. Por esa razón, también es el favorito de los atacantes. Una vez que tienen las credenciales robadas de un usuario , ya sea de su propio reconocimiento o compradas en la web oscura, el atacante simplemente las ingresa repetidamente. Es sólo cuestión de tiempo hasta que pillen a alguien distraído, cansado o harto de recibir múltiples mensajes. Con un clic del usuario, ya está dentro.
A veces, los atacantes utilizan correos electrónicos de phishing para persuadir a usuarios desprevenidos a ingresar sus contraseñas de un solo uso en un sitio web falso. O obtienen copias robadas de la tarjeta SIM y simplemente reciben los códigos directamente. El uso de SMS para 2FA es particularmente vulnerable a los ataques y, si bien las empresas deberían tomar medidas activas para comenzar a usar otros tipos de autenticación, SE Labs cree que sigue siendo mejor que no usar MFA en absoluto.
También conocido como secuestro de sesión o secuestro de cookies, el atacante no necesita participar en el proceso MFA en absoluto. Si bien existen varios métodos diferentes para llevar a cabo un ataque, dado el mayor uso de cifrado en los sitios web, lo más probable es que inicialmente se utilice malware para robar las cookies del objetivo. Una vez que el atacante tiene esta información, simplemente debe esperar hasta que la víctima inicie sesión correctamente y luego tomar el control de la conexión.
Fuente redacción: helpnetsecurity.com