Algoritmo Rapid Domain Triage de Infoblox protege a la autenticación multifactor
•Los ataques se realizan a través de SMS, correos de phishing y sitios web comprometidos, lo que aumenta la variedad de métodos de ofensiva. •Se ha registrado un aumento significativo de ataques a dominios MFA en los últimos meses.
La adopción de la autenticación multifactor (Por sus siglas en inglés MFA) o también conocida como autenticación de dos factores (2FA), tiene la función de añadir una capa extra de seguridad a las cuentas y sistemas en línea, solicitando al usuario verificar su inicio de sesión con algo más que su contraseña, en consecuencia, esta herramienta ha ganado terreno en la ciberseguridad, no obstante, su uso extendido por especialistas y organismos gubernamentales, ha propiciado que los delincuentes tengan como uno de sus blancos principales los MFA.
“Infoblox ha implementado la detección de similitudes durante tres años y ha ajustado especialmente la detección de similitudes de MFA desde principios de este año para encontrar y bloquear los dominios antes de que afecten a nuestros clientes. Estamos perfeccionando nuestro enfoque y aprendiendo de eventos en los que no pudimos detectar actividad maliciosa”, señaló Iván Sánchez, VP de LATAM de Infoblox.
Explicó que el desarrollador está introduciendo una nueva categoría de algoritmo en Threat Insight llamada Rapid Domain Triage. “Con esta capacidad, los usuarios de BloxOne Threat Defense podrán bloquear automáticamente dominios sospechosos casi en tiempo real y recibir alertas sobre la actividad para remediar los ataques de manera más rápida”, abundó el ejecutivo.
Patrones de comportamiento durante un ataque típico MFA
–El atacante obtiene una lista de números de teléfono de sus objetivos.
–Registran un nombre de dominio similar a MFA, 2FA, Okta, Duo u otras palabras clave de verificación conocidas.
–Utilizan herramientas para enviar mensajes de texto SMS con mensajes urgentes que piden a los usuarios que verifiquen sus credenciales de una cuenta.
–Cuando el usuario hace clic en el enlace, el atacante interactúa con él e intercepta los códigos MFA; incluso pueden llamar a la víctima para aumentar el engaño.
–El atacante transmite los códigos MFA al sistema real y obtiene acceso a la cuenta del usuario.
–A partir de ahí, los atacantes pueden llevar a cabo otros ataques para obtener un mayor acceso y aumentar sus privilegios, o simplemente robar información del usuario y continuar.
Uno de los datos que la empresa ha registrado, revela que en 2022 observaron un número creciente de ataques y cientos de nuevos dominios similares a MFA registrados cada mes.
Asimismo, la empresa también destacó que además de los mensajes SMS, los ataques similares a MFA también se realizan a través de correos electrónicos de phishing, sitios web comprometidos y fraudulentos, así como la publicidad maliciosa, dando a conocer que la Comisión de Ciberseguridad y Seguridad de Infraestructura de EE. UU. (CISA) alertó sobre una campaña de phishing que involucra el uso malicioso de software legítimo de monitoreo y administración remota (RMM).
Como último punto, Infoblox enfatizó en que han desarrollado algoritmos personalizados para detectar el registro y uso de dominios similares a MFA, puesto que han observado ataques masivos dirigidos a servicios bancarios, entidades financieras y otras instituciones, por lo que, si bien estos ataques pueden parecer aislados, la realidad es que solo se necesita un ataque de phishing exitoso para comprometer una red. Incluso y a diferencia del phishing, donde sólo el 55% de los dominios son utilizados el mismo día, en los dominios similares a MFA se utilizan el 100%.
WhatsApp eSemanal 55 7360 5651
