Os hackers começaram a se adaptar ao uso mais amplo da autenticação multifator

Os pesquisadores da Proofpoint descobriram que os “kits de phishing” disponíveis para compra on-line estão começando a se adaptar ao MFA, adicionando proxies reversos transparentes à sua lista de ferramentas.

Os pesquisadores de segurança da Proofpoint estão alertando para uma nova ameaça que provavelmente se tornará mais séria com o ar do tempo: os hackers que publicam kits de phishing estão começando a adicionar recursos de autenticação multifator ao seu software.

A Proofpoint disse que um estudo recente da empresa de MFA Duo descobriu que, em 2021, 78% das pessoas usam ou usam MFA, em comparação com apenas 28% em 2017. Esse rápido aumento certamente irritou alguns cibercriminosos nos últimos anos, mas isso dificilmente significa que eles estão para baixo para a contagem. Na verdade, hackers empreendedores são motivados por um desafio como o proposto pela MFA, e a Proofpoint parece ter evidências de que eles conseguiram.

VEJO: Violação de senha: por que cultura pop e senhas não se misturam (PDF grátis) (TechRepublic)

De acordo com Aimei Wei, fundador e CTO da Stellar Cyber, a técnica de phishing man-in-the-middle que evoluiu para combater a MFA “já está por aí e acontecendo. Consumidores e usuários corporativos já estão sendo direcionados.”

A evolução do phishing por proxy

Tradicionalmente, a Proofpoint disse em seu relatório, os kits de phishing disponíveis para venda on-line variam de “kits simples de código aberto com código legível por humanos e funcionalidade sem frescuras a kits sofisticados que utilizam várias camadas de ofuscação e módulos integrados que permitem roubar nomes de usuários, senhas, tokens MFA, números de segurança social e números de cartão de crédito.” A maneira como eles normalmente fazem isso é recriar um site de destino, como uma página de , na esperança de enganar usuários inconscientes.

Com a MFA na mistura, as páginas falsas se tornam inúteis: embora um invasor possa ter um nome de usuário e uma senha, o segundo fator permanece fora de alcance. Digite o que a Proofpoint chama de “um novo tipo de kit” que, em vez de recriar uma página, usa um proxy reverso transparente para atuar como um man-in-the-middle. Ao interceptar todo o tráfego entre uma vítima e seu servidor de destino, esses ataques MitM de proxy transparente permitem que o usuário continue sem saber que suas credenciais e seu cookie de sessão foram roubados.

Além de permitir que um invasor sequestre credenciais e códigos MFA, a Proofpoint disse que essa nova técnica também oferece aos invasores mais poder de permanência. “As páginas da web modernas são dinâmicas e mudam com frequência. Portanto, apresentar o site real em vez de um fac-símile aumenta muito a ilusão de que um indivíduo está logando com segurança”, disse o relatório.

A Proofpoint observou que existem três kits de phishing que surgiram como os grandes jogadores na esfera MitM de proxy reverso transparente: Modlishka, Muraena/Necrobrowser e Evilginx2. Todos têm recursos diferentes, tornando-os mais adequados para determinados fins, mas também têm um grande recurso em comum: foram criados para fins legítimos, como testes de penetração.

VEJO: Google Chrome: dicas de segurança e interface do usuário que você precisa saber (TechRepublic )

“Embora os serviços online possam utilizar [any of those three tools] para parar as tentativas de phishing à medida que ocorrem, com os serviços online cada vez maiores que as empresas estão usando hoje, é difícil ter certeza de que [every vendor] tem essa proteção em vigor”, disse Wei.

Tanto Wei quanto a Proofpoint alertam que os ataques de phishing MitM de proxy transparente só vão crescer à medida que mais empresas adotarem o MFA. Basicamente, é uma má ideia confiar em vários fatores de autenticação como o único seguro contra contas roubadas.

Observando que o Google começou a exigir MFA para todos os seus usuários, a Proofpoint disse que, à medida que mais organizações, tanto empresas quanto voltadas para o consumidor, adotam tecnologia semelhante, os hackers ficarão mais motivados a recorrer a soluções de malware hospedadas baratas e prontas para uso. .

“Eles são fáceis de implantar, de uso gratuito e provaram ser eficazes em evitar a detecção. A indústria precisa se preparar para lidar com pontos cegos como esses antes que eles possam evoluir em novas direções inesperadas”, disse Proofpoint.