Infoblox presenta una herramienta de alerta frente a ataques a sistemas MFA
Infoblox, compañía especializada en ciberseguridad y gestión de servicios core de red a través de plataformas cloud, ha anunciado la disponibilidad de su nuevo servicio Rapid Domain Triage.
El mismo está a disposición de sus clientes dentro de la plataforma BloxOne Threat Defense que permite bloquear automáticamente y prácticamente en tiempo real aquellos dominios sospechosos que amenacen sus sistemas de Autenticación Multifactor (MFA).
Infoblox ha decidido incorporar esta nueva funcionalidad a su solución BloxOne Threat Defense para dar respuesta a una creciente necesidad de mercado, ya que según análisis de la propia compañía, este tipo de ataques ha aumentado considerablemente en los últimos 15 meses, al hacerse más accesibles dentro del ámbito de la ciberdelincuencia las herramientas necesarias para implementar rápidamente ataques tipo AiTM (adversary-in-the-middle) a gran escala.
Como comenta Renée Burton, directora de la Unidad de Inteligencia de Amenazas de Infoblox, “en los últimos años, la adopción de la autenticación multifactor (MFA) ha cobrado un gran impulso. Tanto los proveedores de soluciones de ciberseguridad como las administraciones públicas con responsabilidad en la materia recomiendan adoptar esta estrategia de seguridad. Como suele suceder, cuando algo se vuelve popular, se convierte en objetivo de los cibercriminales. Pero los delincuentes son persistentes e inteligentes. Ya ocurrió cuando empezaron a funcionar los sistemas de “billeteras” de contraseñas, y ahora sucede lo mismo con MFA”.
Se ha detectado asimismo una tendencia en los últimos años que se denomina envejecimiento estratégico. Si en el pasado el modus operandi en la creación de dominios fraudulentos consistía en el registro y uso inmediato del nuevo dominio, y su cancelación también muy rápida, ahora esto ha cambiado, detectándose que más del 30% de estos dominios no se comienzan a utilizar hasta pasados varios días desde su creación. Esto se debe a los mecanismos de seguridad que se implementaron para luchar contra el phising, y que consistían en el bloqueo de dominios recién registrados y el desarrollo de sistemas de escaneo que buscaban contenido activo de phishing basado en los datos de registro.
Por ello, los sistemas de autenticación de factor múltiple MFA se han convertido en un arma de doble filo. Por un lado son un valioso mecanismo para reforzar la seguridad de acceso, pero al mismo tiempo, y dado que cada vez más empresas utilizan estos sistemas, se ha convertido en un nuevo vector de amenazas, ya que los actores generan dominios fraudulentos que imitan interfaces de autenticación MFA para capturar credenciales de usuarios.
Para luchar contra las amenazas que suponen los lookalike domains, de los cuales el registro de dominios MFA fraudulentos son una variante, Infoblox implementó en su solución la detección de lookalike domains, y ha ajustado los algoritmos especialmente para la detección de sitios que imitan interfaces de autenticación.
¿Cómo funciona un ataque a un sistema MFA?
Básicamente, el procedimiento de ataque sigue una serie de pasos básicos:
• El atacante consigue tener acceso a números de teléfono de la organización objetivo.
• Se registra un nombre de dominio que tiene un aspecto similar a MFA, 2FA, Okta, Duo o que contiene una de las palabras clave de verificación conocidas.
• Utiliza un conjunto de herramientas para enviar mensajes de texto SMS con algún tipo de mensaje urgente solicitando al usuario que verifique sus credenciales en una cuenta.
• Cuando el usuario hace click en el enlace, el atacante interactúa activamente con él e intercepta los códigos MFA, incluso pueden hacer una llamada telefónica a la víctima para aumentar la credibilidad.
• El atacante transmite los códigos MFA del usuario al sistema real y obtiene acceso a la cuenta del usuario. A partir de ahí, los actores pueden realizar otros ataques para obtener mayor acceso y aumentar sus privilegios, o pueden simplemente robar información del usuario y seguir adelante.