Este novedoso método permite evadir la autenticación multifactor (MFA)
Una nueva y tortuosa técnica de phishing permite a los atacantes evadir la autenticación multifactor (MFA). La técnica obliga a que las víctimas inicien sesión en secreto en sus cuentas directamente en los servidores controlados por el atacante utilizando el sistema de pantalla compartida VNC.
Uno de los mayores obstáculos para el éxito de los ataques de phishing es evadir la autenticación multifactor (MFA) configurada en las cuentas de correo electrónico de la víctima objetivo.
Incluso si los ciberdelincuentes pueden convencer a los usuarios de ingresar sus credenciales en un sitio de phishing, si MFA protege la cuenta, no pueden hacer mucho. Comprometer completamente la cuenta aún requiere el envío de un código de acceso único a la víctima.
Para obtener acceso a las cuentas protegidas por MFA de un objetivo, los ciberdelincuentes deben esforzarse más. Por ello, los kits de phishing se han actualizado para usar proxies inversos u otros métodos para recopilar códigos MFA de víctimas involuntarias.
Sin embargo, las empresas se están dando cuenta de este método y han comenzado a introducir medidas de seguridad. Estas medidas bloquean los inicios de sesión o desactivan cuentas cuando se detectan proxies inversos.
VNC al rescate
Mientras realizaba una prueba de penetración para un cliente, el investigador de seguridad mr.d0x intentó crear un ataque de phishing contra los empleados del cliente para obtener las credenciales de la cuenta corporativa.
Como todas las cuentas estaban configuradas con MFA, mr.d0x configuró un ataque de phishing utilizando el framework de ataque Evilginx2. Evilginx2 actúa como un proxy inverso para robar credenciales y códigos MFA.
Al realizar la prueba, el investigador descubrió que Google impedía los inicios de sesión al detectar proxies inversos o ataques de intermediarios (MiTM).
mr.d0x dijo que esta era una nueva función de seguridad agregada por Google en 2019, específicamente para prevenir este tipo de ataques.
El investigador también dijo que los sitios web, como LinkedIn, detectan ataques de intermediarios (MiTM) y desactivan cuentas después de un inicio de sesión exitoso .
Para superar este obstáculo, mr.d0x ideó una nueva y tortuosa técnica de phishing que utiliza el software de acceso remoto noVNC y navegadores que se ejecutan en modo quiosco. El objetivo es mostrar mensajes de correo electrónico de inicio de sesión que se ejecutan en el servidor del atacante pero que se muestran en el navegador de la víctima.
VNC es un software de acceso remoto que permite a los usuarios remotos conectarse y controlar el escritorio de un usuario que ha iniciado sesión. La mayoría de las personas se conectan a un servidor VNC a través de clientes VNC dedicados que abren el escritorio remoto de manera similar al Escritorio remoto de Windows.
Sin embargo, un programa llamado noVNC permite a los usuarios conectarse a un servidor VNC directamente desde un navegador. Esto se puede lograr simplemente haciendo clic en un enlace, que es cuando entra en juego la nueva técnica de phishing del investigador.