• viernes 03 de febrero del 2023
728 x 90

Alertan de una campaña de phishing que consigue las cookies de sesión para publicar un ataque BEC con el que hurtar dinero

img

   MADRID, 13 Jul. (Portaltic/EP) -

   Mucho más de diez.000 organizaciones de todo el planeta fueron el propósito en el último año de una campaña masiva de 'phishing' fundamentada en el hurto de las 'cookies' de sesión, con la capacidad de sortear la autenticación de 2 paso, para entrar a cuentas de 'dirección de correo electrónico' lícitas desde las que publicar un ataque de deber de mail comercial (BEC).

Microsoft ha alertado de una campaña masiva de 'phishing' que usó sitios fraudulentos de contrincante en el medio (AiTM) para hurtar la 'cookie' de sesión de los individuos, un género de 'cookie' que almacena la información de comienzo de sesión del usuario en una página en el momento en que esta fué triunfadora, manteniéndola activa.

   Para el hurto de la 'cookie' de sesión no se aprovechó una puerta de inseguridad como tal, sino los ciberatacantes establecieron un servidor web entre el usuario y la página lícita para interceptar el desarrollo de comienzo de sesión, con el que consiguieron tanto las credenciales como la 'cookie'.

   Con esta 'cookie', los ciberatacantes tienen la posibilidad de replicar el comienzo de sesión del usuario, haciéndose pasar por él. Este ingreso no autorizado a la cuenta pasa aun si la víctima tenía habilitado un sistema de autenticación de 2 causantes, como ha señalado la compañía en un aviso.

   A través de este trámite, los cibertacantes consiguieron entrar a la cuenta correo de los individuos damnificados, un correo legítimo, desplegando desde ella una campaña masiva de deber de e-mail comercial para llegar a novedosas víctimas.

   En preciso, y como señala la compañía, Microsoft 365 Defender advirtió el intento de la campaña de 'phishing' AiTM de impactar en mucho más de diez.000 organizaciones, individuos de Office 365, desde septiembre del año pasado.

   En la campaña BEC, los correos fraudulentos mandados desde direcciones lícitas tenían adjunto un fichero que afirmaba ser un mensaje de voz más allá de no bajar un fichero mp3, sino más bien uno HTML. Una vez descargado, la víctima era redirigida a una página falsa que pedía la autenticación en Azure AD, logrando de esta manera interceptar las credenciales y accionar desde en la organización.

   El propósito final de esta campaña es el estafa financiero, esto es, mentir a las víctimas a fin de que efectúen transacciones de dinero haciéndose pasar por la organización.

Para pasar inadvertidos, los cibertacantes suprimían los correos fraudulentos que mandaban desde las cuentas lícitas, y estaban atentos de las respuestas al 'dirección de correo electrónico' enviado, procediendo a su supresión a la mayor brevedad, para eludir alzar supones.

   A pesar de que esta campaña de 'phishing' AiTM sortea la cubierta de seguridad agregada que provee la autenticación de 2 componentes, desde Microsoft insisten en que este todavía es un mecanismo "muy eficiente para parar una gran pluralidad de amenazas", si bien aconsejan complementarlo con resoluciones 'antiphishing' destacadas, políticas de ingreso condicional y la supervisión de los principios de sesión para advertir ocupaciones sospechosas.