¿Espera que el usuario final inicie sesión en la computadora de CyberCriminal, abra un navegador e ingrese su nombre de usuario y contraseña? ¡Ojalá ese no sea el caso! Pero eso es básicamente lo que sucede cuando se convierten en víctimas de un ataque de medio navegador (BITM).
Al igual que el ataque Man-in-the-Middle (MITM), BITM describe en un documento en el International Journal of Information Security por parte de investigadores de la Universidad de Salento Franco Tommasi, Christian Catalano e Ivan Taurino, lo que significa que los delincuentes están tratando de controlar el flujo de datos entre la computadora de la víctima y el servicio objetivo. Sin embargo, hay algunas diferencias importantes.
Man-in-the-middle vs navegador en el medio
Los ataques MITM usan un servidor proxy que se coloca entre el navegador de la víctima y el servicio de destino legítimo en la capa de aplicación. Se requiere que se coloque algún tipo de malware y se ejecute en la computadora de la víctima.
Sin embargo, los ataques BITM son diferentes. En cambio, la víctima cree que está usando su navegador cuando en realidad está ejecutando un navegador remoto transparente. Por ejemplo, estamos llevando a cabo la banca en línea regular.
Como señala el papel, es como si el usuario estuviera «sentado frente a la computadora del atacante usando el teclado del atacante». Esto significa que un atacante puede capturar, registrar y modificar el intercambio de datos entre la víctima y el servicio al que está accediendo.
Anatomía de los ataques de BITM
Entonces, ¿cómo funciona? Un ataque de BITM típico ocurre en tres fases.
Phishing: se engaña a las víctimas para hacer clic en un hipervínculo malicioso que señala el servidor del atacante y autentica la aplicación web. Navegador falso: la víctima está conectada al servidor de un atacante y a un navegador web transparente a través de la inserción maliciosa de JavaScript. El ataque utiliza programas como Keyloggers para permitir que los delincuentes intercepten y usen los datos de la víctima. Dirección de la aplicación web: las víctimas usan todos sus servicios habituales en línea sin darse cuenta de que están utilizando un navegador transparente. Sus calificaciones ahora están expuestas a delincuentes.
Token de sesión
El ataque funciona apuntando a tokens de sesión. Esto permite a los atacantes destruirlo incluso con la autenticación multifactorial (MFA). Una vez que el usuario completa MFA, el token de sesión normalmente se guarda en el navegador. Como han señalado los investigadores de la subsidiaria de Google, Mandiant, el MFA ya no es importante si el token en sí podría ser robado.
«Pasar tokens para esta sesión es equivalente a robar una sesión autenticada. Esto significa que el enemigo ya no necesita realizar un desafío MFA». Esto hace que la ficha sea un objetivo útil para los operadores de equipos rojos que prueban la defensa del sistema y, más preocupante, el verdadero enemigo.
Al adoptar el marco de BITM al atacar tokens de sesión autenticados, los atacantes se beneficiarán de la función de orientación rápida. Cuando se dirige la aplicación, se proporcionan sitios legítimos a través de navegadores controlados por atacantes, lo que hace que sea extremadamente difícil para la víctima comunicar la diferencia entre el sitio real y sus contrapartes falsas.
Las cookies o los tokens OAuth se arrebatan justo antes del cifrado, pero con la eliminación rápida, el token robado se puede transmitir al servidor del atacante en segundos.
Estrategia de mitigación
Estos ataques sofisticados pueden causar daños significativos, pero hay formas de evitar o mitigar el resultado. En el nivel más amplio, los usuarios siempre deben tener mucho cuidado con los enlaces a los que acceden. Probablemente necesite obtener una vista previa de su sitio antes de hacer clic en el enlace. Hay algunas otras opciones.
Contraseña para la nueva era
La conclusión es deprimentemente clara. Los ataques de BITM pueden eludir los enfoques de seguridad tradicionales, incluso permitiendo a los delincuentes interceptar nombres de usuario y contraseñas. Entonces, ¿esto hace que la contraseña sea irrelevante?
La respuesta es abrumadora «no». Al promulgar la autenticación multifactorial (MFA) con contraseñas robustas, dificulta la vida de los cibercriminales, especialmente si los tokens de sesión no pueden capturarse de inmediato.
Incluso si el atacante es más refinado, debe estar al tanto de los conceptos básicos. La contraseña sigue siendo un componente importante del MFA. De hecho, para la mayoría de las organizaciones, probablemente siguieron siendo la primera línea de defensa. No importa cómo ataques tu contraseña, proteger tu contraseña irritará los cibercriminales.
La política de contraseña de SPECOPS garantiza que las contraseñas de Active Directory siempre estén rayadas. Una política de contraseña más sólida también le permitirá escanear continuamente Active Directory con más de 4 mil millones de contraseñas comprometidas. Cuando se combina con MFA efectivos como SpecOPS Secure Access, protege a los usuarios finales con pasos de contraseña y inicio de sesión. ¿Necesita asistencia de seguridad de MFA o contraseña? Alcanza el chat.
Source link
