Microsoft advierte a las organizaciones de ataques de phishing por consentimiento


En este tipo de campaña de phishing, los atacantes engañan a las personas para que otorguen a una aplicación maliciosa el consentimiento para acceder a datos confidenciales, dice Microsoft.

suplantación de identidad

Imagen: weerapatkiatdumrong, Getty Visuals / iStockphoto

Las campañas de phishing son una táctica común en la que los ciberdelincuentes se hacen pasar por una compañía, producto o marca conocida para robar credenciales de cuenta, información financiera u otros datos de víctimas desprevenidas. Un ataque de phishing típico convence al usuario de ingresar directamente su contraseña y credenciales de inicio de sesión, que luego son capturadas por el atacante.

Pero un tipo de campaña más especializado conocido como phishing por consentimiento tiene como objetivo capturar datos confidenciales no enganchando su contraseña sino engañándole para que otorgue los permisos necesarios a una aplicación maliciosa. UNA Publicación de website de Microsoft publicada el miércoles explica cómo funciona

VER: Lucha contra los ataques de phishing en las redes sociales: 10 consejos (PDF gratuito) (TechRepublic)

Este tipo de phishing por consentimiento se basa en OAuth 2. tecnología de autorización. Al implementar el protocolo OAuth en una aplicación o sitio internet, un desarrollador le da al usuario la capacidad de otorgar permiso a ciertos datos sin tener que ingresar su contraseña u otras credenciales.

Utilizado por una variedad de compañías en línea, incluidas Microsoft, Google y Fb, OAuth es una forma de tratar de simplificar el proceso de inicio de sesión y autorización para aplicaciones y sitios internet a través de un mecanismo de inicio de sesión único. Sin embargo, como ocurre con muchas tecnologías, OAuth se puede utilizar con fines beneficiosos y maliciosos.

Microsoft detalla el problema paso a paso en su publicación de website:

  1. Un atacante registra una aplicación con un proveedor de OAuth 2., como Azure Energetic Directory.
  2. La aplicación está configurada de manera que parezca confiable, como el uso del nombre de un producto popular utilizado en el mismo ecosistema.
  3. El atacante obtiene un enlace frente a los usuarios, que se puede realizar mediante phishing convencional por correo electrónico, comprometiendo un sitio web no malicioso o mediante otras técnicas.
  4. El usuario hace clic en el enlace y se le muestra un mensaje de consentimiento auténtico pidiéndole que otorgue permisos de aplicación maliciosa a los datos.
  5. Si un usuario hace clic en Aceptar, concede a la aplicación permisos para acceder a datos confidenciales.
  6. La aplicación obtiene un código de autorización, que canjea por un token de acceso, y potencialmente un token de actualización.
  7. El token de acceso se utiliza para realizar llamadas a la API en nombre del usuario.
  8. El atacante puede obtener acceso al correo del usuario, reglas de reenvío, archivos, contactos, notas, perfil y otros datos confidenciales.
content-phishing-microsoft.jpg "src =" https://tr2.cbsistatic.com/hub/i/r/2020/07/09/3883e369-c39f-4d8c-baca-d1d8f09902e3/resize/770x/614f680213e8271e0b92f569e665fc6f/ -phishing-microsoft.jpg

Pantalla de consentimiento de una aplicación maliciosa de muestra llamada «Aplicación de riesgo».

Imagen: Microsoft

«Se ha abusado de OAuth desde que se implementó por primera vez y su abuso solo se está acelerando ahora que se está desplegando ampliamente», dijo a TechRepublic Roger Grimes, evangelista de defensa basado en datos en KnowBe4. «En standard, solo los hackers abusan de un solo punto de falla. Cada vez que los usuarios usan una tecnología de inicio de sesión único, los atacantes van a abusar de ella. Ahora que cientos de millones de usuarios la usan sin saber realmente qué es, lo hace más fácil de abusar «.

La explotación de una tecnología como OAuth tiene éxito en gran parte debido a la falta de conocimiento y conciencia del usuario.

«Parte del problema es que la mayoría de los usuarios no entienden lo que está sucediendo», dijo Grimes. «No saben que un inicio de sesión que han usado con Gmail, Facebook, Twitter o algún otro proveedor de OAuth ahora está siendo automáticamente llamado y usado o abusado por otra persona. Tampoco entienden las indicaciones de permiso». Todo lo que saben es que hicieron clic en un enlace de correo electrónico o un archivo adjunto y ahora su sistema informático les está pidiendo que confirmen alguna acción que realmente no entienden «.

Microsoft promocionó algunos de los pasos que se han tomado para tratar de prevenir este tipo de comportamiento malicioso. La compañía dijo que utiliza herramientas de seguridad como la gestión de identidad y acceso, gestión de dispositivos, protección contra amenazas y seguridad en la nube para analizar millones de puntos de datos para ayudar a detectar aplicaciones maliciosas. Además, Microsoft está tratando de proteger mejor sus ecosistemas de aplicaciones al permitir que los clientes establezcan políticas sobre los tipos de aplicaciones a las que los usuarios pueden dar cierto consentimiento.

A pesar de los esfuerzos de Microsoft y otras compañías, estos ataques persisten ya que los ciberdelincuentes están un paso por delante del juego. Para ayudar a proteger contra las campañas de phishing por consentimiento, Microsoft ofrece consejos para individuos y organizaciones.

Para individuos:

  • Verifique la falta de ortografía y gramática. Si un mensaje de correo electrónico o la pantalla de consentimiento de la aplicación tiene errores ortográficos y gramaticales, es possible que sea una aplicación sospechosa.
  • Esté atento a los nombres de las aplicaciones y las URL de dominio. A los atacantes les gusta falsificar nombres de aplicaciones que hacen que parezcan provenir de aplicaciones o compañías legítimas, pero lo llevan a dar su consentimiento a una aplicación maliciosa. Asegúrese de reconocer el nombre de la aplicación y la URL del dominio antes de acceder a una aplicación.

Para organizaciones:

Microsoft aconsejó además a las organizaciones interesadas que verifiquen su documentación en «Detectar y remediar subvenciones de consentimiento ilícito«y»Cinco pasos para asegurar su infraestructura de identidad«.

Grimes también ofreció tres consejos para desarrolladores de aplicaciones y sitios world wide web que usan OAuth:

  1. Haga que las solicitudes de permiso sean mucho más comprensibles para el usuario ultimate casual. Por ejemplo, incluya un mensaje que diga: «Si dice que está bien, le está dando a este tercero el control total sobre todos los documentos que puede ver, así que asegúrese de confiar en la persona que pregunta. La solicitud puede ser maliciosa».
  2. De alguna manera, haga que el sistema sea lo suficientemente inteligente tomar la decisión de riesgo en nombre del usuario para que un usuario no capacitado en seguridad informática no tenga que tomar decisiones de seguridad informática.
  3. No permita que se tomen decisiones de alto riesgo., especialmente por defecto y tan fácilmente. El sistema debería tener el permiso menos permisivo y hacer que el usuario se desvive para regalar las llaves del reino.

«Si no puedes hacer una de estas tres cosas», agregó Grimes, «nunca vas a detener los ataques de OAuth».

Ver también



Enlace a la noticia unique