Ataques de compromiso de correo electrónico empresarial que involucran MFA …



Los adversarios están utilizando clientes de correo electrónico heredados para acceder y hacerse cargo de cuentas protegidas con autenticación sólida, dice Abnormal Safety.

La autenticación multifactor (MFA) se considera en general una medida sólida para protegerse contra los ataques de apropiación de cuentas. Pero como ocurre con casi cualquier control de seguridad, los adversarios han ideado varias formas de evitarlo.

Investigadores de Seguridad anormal informaron esta semana que observaron un aumento reciente en los ataques en los que los actores de amenazas utilizaron aplicaciones heredadas con protocolos de correo electrónico antiguos, como IMAP, SMTP y POP, para acceder y hacerse cargo de las cuentas de correo electrónico comerciales protegidas con MFA.

En estos ataques, un actor de amenazas que podría haber obtenido el nombre de usuario y la contraseña de una cuenta de correo electrónico protegida por MFA, a través de un sitio de pegado, por ejemplo, accedería a la cuenta iniciando sesión desde una aplicación heredada que no aplica MFA. Un ejemplo es un cliente de correo electrónico como MailBird, que permite configurar Gmail a través de IMAP, dice Erin Lundert, científica de datos de Irregular Protection.

«Las empresas que permiten el acceso desde aplicaciones heredadas son vulnerables al compromiso del correo electrónico empresarial (BEC) debido a la falta de controles MFA» en los clientes de correo electrónico más antiguos, afirma.

Es común que muchas organizaciones permitan el inicio de sesión de correo electrónico tanto desde aplicaciones modernas que admiten MFA como desde aplicaciones heredadas que no lo hacen.

«Algunas organizaciones, pero no todas, aplican políticas de acceso condicional para fortalecer los inicios de sesión de aplicaciones heredadas», dice Lundert. Es cuando las organizaciones no aplican o hacen cumplir dichas políticas que se vuelven vulnerables a BEC, señala.

Algunas licencias de Microsoft Office environment 365 brindan a las organizaciones la capacidad de implementar políticas de acceso condicional para hacer esto. Sin embargo, el acceso heredado todavía está habilitado de forma predeterminada, dijo Abnormal Security en un informe reciente. Para bloquearlo, las organizaciones deben deshabilitar el acceso heredado por inquilino en toda la organización. Además, muchas empresas permiten el acceso heredado de forma generalizada, por lo que bloquear por completo a los usuarios para que no utilicen aplicaciones heredadas podría resultar perjudicial.

Aun así, «la mejor protección que puede implementar una organización es MFA y políticas de acceso condicional para aplicaciones heredadas», dice Lundert.

En los últimos años, numerosas organizaciones han sufrido pérdidas sustanciales a causa de los ataques BEC. En muchos de estos ataques, los actores de amenazas obtuvieron acceso a cuentas de correo electrónico comerciales de alto valor, como las que pertenecen a un director financiero u otro ejecutivo con autoridad para firmar, y utilizaron el acceso para iniciar transferencias bancarias fraudulentas.

En otros casos, los adversarios han utilizado las cuentas de correo electrónico para desviar pagos de nómina, para estafas de tarjetas de regalo y para robar datos W-2. los El FBI ha estimado que las empresas estadounidenses perdieron alrededor de $ 1.7 mil millones por fraude relacionado con BEC en 2019.

Haciendo que los ataques BEC sean más difíciles de realizar
El FBI y numerosos investigadores de seguridad han instado al uso de MFA como una forma de dificultar la apropiación de cuentas de correo electrónico. Si bien la medida puede ayudar, las organizaciones deben ser conscientes de que las políticas de autenticación fuerte y acceso condicional no son soluciones mágicas, dijo Abnormal en su informe.

«La MFA basada en SMS, en unique, puede ser explotada por los atacantes de varias formas», dice Charles Ragland, ingeniero de seguridad de Digital Shadows.

Uno de los más comunes es la extracción de SIM que implica el uso de ingeniería social para que los proveedores de red cambien el servicio móvil de la víctima a una tarjeta SIM controlada por el atacante. Otra táctica común es el secuestro de SS7, donde los atacantes interceptan y escuchan a escondidas dispositivos móviles explotando una debilidad en el protocolo SS7, dice Ragland.

Otros métodos para evitar la MFA no basada en SMS también se discuten comúnmente en los foros de ciberdelincuentes. Un foro de ciberdelincuentes en ruso, Exploit, por ejemplo, anunció recientemente la venta de un método para eludir los sistemas MFA por $ 5,000, dice Ragland.

MFA, o MFA con inicio de sesión único (SSO), es una excelente manera de proporcionar una política de acceso seguro a una pink, dice. Pero las organizaciones deben ser conscientes de que no todos los protocolos heredados son compatibles con los métodos de autenticación modernos.

«En estos casos, las organizaciones deben realizar una revisión de riesgos y determinar si una actualización vale la pena o si aceptarán el riesgo», dice Ragland.

Brandon Hoffman, director de seguridad de la información de Netenrich, dice que MFA es un excelente segundo paso para ayudar a proteger los servicios críticos, aunque se pueden omitir de varias maneras diferentes. Donde las organizaciones no usan MFA, las políticas de acceso condicional sólidas pueden ayudar. Sin embargo, se debe tener cuidado con su configuración.

«Muchas de estas políticas dependen de elementos estáticos del navegador que se manipulan fácilmente», advierte Hoffman.

Contenido relacionado:

Jai Vijayan es un reportero de tecnología experimentado con más de 20 años de experiencia en el periodismo comercial de TI. Recientemente, fue editor senior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia primary