¡Nueva técnica de phishing expuesta! Qué son los ataques BITB

El phishing de credenciales es una amenaza común que ha existido durante muchos años. Utiliza diferentes técnicas de ingeniería social para persuadir a un usuario desprevenido a hacer clic en un enlace o abrir un documento y proporcionar sus credenciales, que luego son enviadas al atacante. Ahora, recientemente se ha expuesto una nueva técnica de phishing por un probador de penetración e investigador de seguridad conocido como "mr.d0x" en su sitio web.

Índice de Contenido
  1. ¿Qué son los ataques BITB?
  2. ¿Cómo funciona?
  3. Ataques ya vistos en la vida real
  4. Recomendaciones

¿Qué son los ataques BITB?

Los ataques del tipo Browser in the browser (BITB) consisten en simular una ventana del navegador dentro del navegador para falsificar un dominio legítimo. El ataque aprovecha la opción de inicio de sesión único (SSO, por sus siglas en inglés) de terceros, que se ha vuelto cada vez más común para que los usuarios inicien sesión en diferentes sitios web. El principio es bastante sencillo: el usuario se conecta a un sitio web, que a su vez abre una nueva ventana del navegador que solicita las credenciales de Google, Apple, Microsoft u otros proveedores de terceros, para permitir que el usuario inicie sesión (Figura A). Esto beneficia al usuario porque no necesita recordar ni usar una contraseña adicional para iniciar sesión en el sitio web.

Figura A

¡Nueva técnica de phishing expuesta! Qué son los ataques BITB - Seguridad | Imagen 1 Newsmatic

Aquí es donde entra en juego el ataque BITB. En un ataque BITB, al usuario se le muestra una ventana emergente fraudulenta que solicitará su contraseña de SSO. La diferencia principal con un caso de phishing habitual radica en el hecho de que, además de mostrar esa ventana emergente, puede mostrar cualquier URL, incluso una legítima (Figura B).

Figura B

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

El truco funciona muy bien. Las personas se han acostumbrado tanto a este modelo de autenticación que ya no le prestan mucha atención y simplemente escriben sus credenciales para iniciar sesión.

¿Cómo funciona?

En este ataque, al igual que en el phishing habitual, el actor de la amenaza necesita que el usuario primero visite una página maliciosa o comprometida. Para atraer al usuario a la página fraudulenta, los atacantes generalmente optan por enviar enlaces por correo electrónico o mediante software de mensajería instantánea. Esa página contendrá un iframe que apunta al servidor malicioso que aloja la página de phishing.

El código JavaScript puede hacer que la página emergente aparezca en un enlace, botón o pantalla de carga de la página. JavaScript también permite que el atacante muestre cualquier URL para la ventana emergente.

Según mr.d0x, "una vez que el usuario aterriza en el sitio web propiedad del atacante, se sentirá tranquilo mientras escribe sus credenciales en lo que parece ser el sitio web legítimo (porque la confiable URL dice que lo es)".

Ataques ya vistos en la vida real

El equipo de Análisis de Amenazas de Google (TAG) informó sobre una nueva campaña de ataque de un actor de amenazas conocido como Ghostwriter. El actor de amenazas proviene de Bielorrusia y ha utilizado ataques BITB con las páginas de phishing alojadas en un sitio web comprometido. Una vez que un usuario proporciona sus credenciales, estas son enviadas a un servidor remoto controlado por el atacante. Algunos de los dominios de phishing observados recientemente utilizados por Ghostwriter se centran en Ucrania.

Sospechamos que muchos más actores de amenazas pronto se adaptarán y utilizarán esta nueva técnica en sus campañas de ataque.

Cómo proteger tu computadora de los virus: métodos y consejos

Recomendaciones

Parece poco razonable pedir a los usuarios que dejen de usar SSO. Se han acostumbrado a ello y funciona bien en la mayoría de los casos. Agregar autenticación de múltiples factores (MFA) es una buena manera de mejorar la seguridad para la autenticación SSO, sin embargo, aún podría ser eludida por los atacantes, por ejemplo, al utilizar malware. En cuanto a aumentar la seguridad en casos de phishing, las mejores soluciones de MFA son los dispositivos de hardware o los tokens.

El uso de administradores de contraseñas también puede ayudar en el caso particular de los ataques BITB. Dado que la página de phishing en realidad no es una ventana de navegador real, los administradores de contraseñas con opciones de autocompletar podrían no reaccionar ante ellos, alertando al usuario y haciéndole preguntarse por qué la función de autocompletar no funciona.

Las mejores formas de evitar los ataques BITB son en realidad las mismas que para el phishing habitual. Los usuarios no deben hacer clic en enlaces o archivos adjuntos de fuentes desconocidas por correo electrónico o software de mensajería instantánea. Si tienen dudas sobre un correo electrónico que proviene de una entidad o colega aparentemente legítimo, el usuario debe llamar y verificar que realmente hayan sido ellos los remitentes y que el enlace o archivo compartido sea seguro.

También se deben implementar y utilizar soluciones contra el phishing. Si es posible, esas soluciones deben permitir al usuario informar fácilmente al departamento de TI o incluso a organizaciones contra el phishing.

Divulgación: Trabajo para Trend Micro, pero las opiniones expresadas en este artículo son mías.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a ¡Nueva técnica de phishing expuesta! Qué son los ataques BITB , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.