Okta Threat Intelligence ha observado que actores de amenazas están abusando de v0, una herramienta innovadora de Inteligencia Artificial Generativa (GenAI) creada por Vercel, para desarrollar sitios de phishing que suplantan páginas web de inicio de sesión legítimas.
Esta observación señala una nueva evolución en la utilización de la IA generativa como arma por parte de los actores de amenazas, que han demostrado la capacidad de generar un sitio de phishing funcional a partir de simples indicaciones de texto. Los investigadores de Okta pudieron reproducir nuestras observaciones.
v0.dev de Vercel es una herramienta impulsada por IA que permite a los usuarios crear interfaces web utilizando indicaciones en lenguaje natural. Okta ha observado que esta tecnología se utiliza para crear réplicas de las páginas de inicio de sesión legítimas de varias marcas, incluido un cliente de Okta.
Una investigación más profunda reveló que los recursos de las páginas de phishing, incluyendo los logotipos de empresas suplantadas, también estaban alojados en la infraestructura de Vercel. En ocasiones, los actores de amenazas alojan todos los elementos de un sitio de phishing dentro de la misma plataforma de confianza para que el sitio parezca más legítimo. Este es un intento de evadir la detección basada en recursos extraídos de los registros de la CDN o alojados en infraestructura dispar o conocida como maliciosa.
Vercel ha restringido el acceso a los sitios de phishing identificados y ha colaborado con Okta en los métodos para denunciar infraestructura de phishing adicional.
La actividad observada confirma que los actores de amenazas actuales están experimentando activamente y convirtiendo en armas las herramientas GenAI líderes para agilizar y mejorar sus capacidades de phishing. El uso de una plataforma como v0.dev de Vercel permite a los actores de amenazas emergentes producir rápidamente páginas de phishing engañosas y de alta calidad, lo que aumenta la velocidad y la escala de sus operaciones.
Además de la plataforma v0.dev de Vercel, varios repositorios públicos de GitHub ofrecen clones directos de la aplicación v0.dev o guías de "hágalo usted mismo" (DIY) para construir herramientas generativas a medida. Esta proliferación de código abierto democratiza eficazmente las capacidades avanzadas de phishing, proporcionando las herramientas para que los adversarios creen su propia infraestructura de phishing.
Okta Threat Intelligence también observó a actores de amenazas abusando de la plataforma Vercel para alojar múltiples sitios de phishing que suplantan a marcas legítimas, incluidas Microsoft 365 y empresas de criptomonedas. Los clientes de Okta pueden acceder al aviso de seguridad detallado en el Security Trust Center.
Recomendaciones para el cliente
Este incidente destaca un nuevo vector crítico en el panorama del phishing. A medida que las herramientas de IA generativa se vuelven más poderosas y accesibles, las Organizations y sus equipos de seguridad deben adaptarse a la realidad de la ingeniería social impulsada por IA y los ataques de recolección de credenciales.
Las organizaciones ya no pueden confiar en enseñar a los usuarios a identificar sitios de phishing sospechosos basados en la imitación imperfecta de servicios legítimos. La única defensa confiable es vincular criptográficamente el autenticador de un usuario al sitio legítimo en el que se registró.
Esta es la técnica que impulsa Okta FastPass, el método sin contraseña integrado en Okta Verify. Cuando la resistencia al phishing se aplica en la política, el autenticador no permitirá que el usuario inicie sesión en ningún recurso que no sea el origen (dominio) establecido durante la inscripción. En pocas palabras, el usuario no puede ser engañado para que entregue sus credenciales a un sitio de phishing.
Okta Threat Intelligence recomienda las siguientes tácticas de defensa:
Refuerce la autenticación resistente al phishing: configure su organización para que requiera autenticación resistente al phishing, como Okta FastPass, que proporciona garantía de seguridad adicional contra las amenazas basadas en credenciales, y priorice la desactivación de factores antiguos y menos seguros. Obtenga más información sobre la prevención de phishing en nuestra guía completa.
Vincular el acceso a dispositivos de confianza: las políticas de autenticación se pueden utilizar para restringir el acceso a las cuentas de usuario en función de una variedad de requisitos previos configurables por el cliente. Recomendamos que los administradores restrinjan el acceso a aplicaciones y datos confidenciales solo a aquellos dispositivos que estén registrados en Okta o administrados por herramientas de administración de extremos y que se evalúe que tienen una sólida postura de seguridad. Esto puede evitar que un atacante armado con credenciales robadas acceda a recursos confidenciales.
Requerir autenticación escalonada para accesos anómalos: Okta Network Zones se puede utilizar para controlar el acceso por ubicación, ASN (Autonomous System Number), IP, y si la dirección IP está asociada con servicios de anonimización. Okta Behavior Detection se puede utilizar para activar la autenticación escalonada, denegar el acceso o activar otros flujos de trabajo cuando el comportamiento de inicio de sesión de un usuario se desvía de un patrón de actividad anterior.
Mejore la concientización sobre seguridad: mejore la Capacitación interna sobre la concientización sobre seguridad para tener en cuenta las amenazas generadas por la IA.
Para obtener más información sobre estas amenazas y cómo mantenerse seguro, visite el aviso de seguridad en nuestro Security Trust Center (para clientes de Okta). Para conocer las últimas noticias y perspectivas sobre identidad y seguridad, suscríbase a nuestro boletín de Access Granted en LinkedIn.
