El FBI advierte sobre ataques que eluden la autenticación multifactor (MFA)

El FBI advierte sobre ataques que eluden la autenticacion multifactor

La Oficina Federal de Investigaciones (FBI) de EE. UU. envió un aviso de seguridad a los socios de la industria privada el mes pasado, señalando la creciente amenaza de ataques dirigidos a organizaciones y sus empleados que pueden eludir las soluciones de autenticación multifactor (MFA).

«El FBI ha observado a los ciberdelincuentes eludiendo la autenticación multifactor a través de ataques técnicos y de ingeniería social comunes», escribió el FBI en un Aviso de la Industria Privada (PIN) del 17 de septiembre.

Incidentes anteriores de omisión de MFA

Si bien ahora hay varias formas de eludir las protecciones de MFA, la alerta del FBI advierte específicamente sobre el intercambio de SIM, las vulnerabilidades en las páginas en línea que manejan las operaciones de MFA y el uso de proxies transparentes como Muraen y NecroBrowser.

Para ilustrar, el FBI enumeró casos recientes de piratas informáticos que utilizan estas técnicas para eludir MFA y robar fondos de empresas y usuarios habituales. Citamos del informe:

  • En 2016, un cliente de una institución bancaria de EE. UU. fue atacado por atacantes cibernéticos que transfirieron sus números de teléfono a un teléfono de su propiedad, un ataque conocido como intercambio de SIM. El atacante llamó al representante de servicio al cliente de la compañía telefónica y encontró a algunos que preferirían darle la información para completar el intercambio de SIM. Una vez que el atacante tiene control del número de teléfono del cliente, llama al banco y solicita una transferencia bancaria de la cuenta de la víctima a otra cuenta de su propiedad. El banco creía que el número de teléfono pertenecía al cliente y no hizo preguntas de seguridad completas, pero pidió que se le enviara una contraseña de un solo uso al número de teléfono que marcó. También pidió cambiar el PIN y la contraseña y pudo adjuntar el número de tarjeta de crédito de la víctima a la aplicación de pago móvil.
  • Durante 2018 y 2019, el Centro de Quejas de Delitos en Internet del FBI y las Quejas de Víctimas del FBI observaron el ataque antes mencionado (intercambio de SIM) como una táctica común utilizada por los ciberdelincuentes para tratar de eludir la autenticación de dos factores. A las víctimas de estos ataques les robaron sus números de teléfono, vaciaron sus cuentas bancarias y cambiaron sus contraseñas y PIN. Muchos de estos ataques se basaron en representantes de servicio al cliente de ingeniería social de las principales compañías telefónicas que proporcionaron información a los atacantes.
  • En 2019, una institución bancaria de EE. UU. fue atacada por atacantes cibernéticos que pudieron explotar una vulnerabilidad en el sitio web del banco para evitar la autenticación de dos factores implementada para proteger las cuentas. El atacante cibernético inicia sesión con las credenciales de la víctima robada y, cuando llega a una página secundaria donde los clientes generalmente necesitan ingresar un PIN y responder una pregunta de seguridad, el atacante ingresa una cadena manipuladora en la URL web que configura la computadora para estar en la cuenta. Esto le permitió eludir el PIN y la página de preguntas de seguridad e iniciar una transferencia bancaria desde la cuenta de la víctima.
  • En febrero de 2019, un experto en seguridad cibernética presentó en la conferencia RSA en San Francisco los diversos esquemas y ataques que los ciberactores pueden usar para eludir la autenticación multifactor. Los expertos en seguridad muestran ejemplos en tiempo real de cómo los atacantes cibernéticos pueden usar ataques de intermediarios y secuestros de sesiones para interceptar el tráfico entre usuarios y sitios web para llevar a cabo estos ataques y mantener el acceso el mayor tiempo posible. También demostró ataques de ingeniería social, incluidos esquemas de phishing o mensajes de texto fraudulentos que pretendían ser bancos u otros servicios, para hacer que los usuarios inicien sesión en sitios web falsos y entreguen su información privada.
  • En la conferencia Hack-in-the-Box de junio de 2019 en Ámsterdam, los expertos en seguridad cibernética demostraron un par de herramientas, Muraena y NecroBrowser, que funcionan juntas para automatizar esquemas de phishing dirigidos a usuarios autenticados de múltiples factores. La herramienta Muraena intercepta el tráfico entre los usuarios y los sitios web de destino, donde se les solicita que ingresen las credenciales de inicio de sesión y los códigos de token como de costumbre. Una vez autenticado, NecroBrowser almacena datos y secuestra cookies de sesión para las víctimas de este ataque, lo que permite a los atacantes cibernéticos iniciar sesión en estas cuentas privadas, controlarlas, cambiar las contraseñas de los usuarios y recuperar las direcciones de correo electrónico, todo ello manteniendo el permiso de acceso.

MFA todavía funciona

El FBI dejó en claro que sus alertas deben usarse solo como precaución, no como un ataque a la eficiencia de MFA, que la agencia aún recomienda. El FBI sigue recomendando que las empresas utilicen MFA.

En cambio, el FBI quiere que los usuarios de las soluciones MFA se den cuenta de que los ciberdelincuentes ahora tienen formas de eludir tales protecciones de cuentas.

“Mientras los usuarios tomen precauciones para asegurarse de no ser víctimas de estos ataques, la autenticación multifactor sigue siendo una medida de seguridad sólida y eficaz para proteger las cuentas en línea”, dijo el FBI.

Los ataques MFA son raros

Aunque ha aumentado la cantidad de incidentes y herramientas de ataque capaces de eludir MFA, estos ataques aún son muy raros y aún no están automatizados a gran escala. La semana pasada, Microsoft dijo que los ataques que pueden eludir MFA son tan inusuales que ni siquiera tienen estadísticas sobre ellos.

Por el contrario, el fabricante del sistema operativo dice que cuando está habilitado, MFA puede ayudar a los usuarios a bloquear el 99,9 por ciento de todos los hackeos de cuentas.

En mayo, Google dijo algo similar, afirmando que los usuarios que agregaron un número de teléfono de recuperación a su cuenta (y habilitaron indirectamente MFA basado en SMS) mejoraron la seguridad de su cuenta.

«Nuestra investigación muestra que simplemente agregar un número de teléfono de recuperación a su cuenta de Google puede bloquear hasta el 100% de los bots automatizados, el 99% de los ataques masivos de phishing y el 66% de los ataques dirigidos durante nuestra investigación», dijo Google en ese momento.

En general, MFA sigue siendo muy eficaz para bloquear la mayoría de los ataques automatizados y a gran escala; sin embargo, los usuarios deben tener en cuenta que existen formas de eludir algunas soluciones MFA, como las que dependen de la autenticación basada en SMS.

En su lugar, los usuarios deberían optar por una solución MFA más robusta que sea menos vulnerable a los trucos de ingeniería social como el intercambio de SIM o un proxy transparente que pueda interceptar tokens MFA.

En esta página, los ingenieros de seguridad de Microsoft analizan cómo varias soluciones de MFA protegen contra los ataques de omisión de MFA. Las soluciones enumeradas en la parte inferior de la tabla son las más fuertes.

Ciberdelincuentes buscados por el FBI

Deja un comentario