“Inicie sesión de forma normal, no use la función Okta FastPass.”
Esta instrucción inusual, enviada a los objetivos de una reciente campaña de ingeniería social observada por Okta Threat Intelligence, ofrece una perspectiva de cómo los ciberdelincuentes están evolucionando sus tácticas en respuesta a la mayor adopción de métodos de inicio de sesión avanzados y de alta seguridad.
Durante los ataques de phishing observados, los atacantes se hicieron pasar por el CEO de una empresa e intentaron convencer a los usuarios objetivo de que evadieran las medidas de seguridad que la empresa tenía implementadas. La campaña abusó de los canales de comunicación de mensajería instantánea de confianza (en este caso, Slack) para entregar señuelos a los usuarios objetivo.
Los contactos de seguridad de los clientes de Okta pueden acceder a un aviso de amenazas detallado sobre esta campaña de phishing una vez que se autentiquen en security.okta.com.
¿Por qué los atacantes tienen una opinión sobre su método de inicio de sesión?
La elección de los métodos de inicio de sesión ("autenticadores") que ofreces a los usuarios es realmente importante.
Los señuelos de phishing que observamos dirigieron a los usuarios objetivo a visitar páginas de phishing que ejecutan Evilginx, un proxy transparente de tipo adversary-in-the-middle (AitM).
Estos kits de phishing se pueden utilizar para pasar una solicitud de autenticación legítima a través de la infraestructura del atacante, lo que permite al atacante acceder tanto a las contraseñas de los usuarios como a cualquier formulario de código de acceso de un solo uso (SMS, TOTP, etc.) necesario para acceder al recurso. Las páginas de phishing también se pueden configurar para capturar el token de sesión que se devuelve al navegador de un usuario cuando inicia sesión a través de estos proxies.
Los kits de phishing AitM no son efectivos contra organizaciones que implementan métodos de autenticación robustos y resistentes al phishing, y que aplican la resistencia al phishing en sus políticas.
Cuando los administradores aplican la resistencia al phishing en una regla de política de autenticación, un usuario solo puede acceder al recurso protegido mediante Okta FastPass, la autenticación basada en FIDO2 o las tarjetas inteligentes PIV. Estos métodos de inicio de sesión no permitirán el acceso si la solicitud se enruta a través de un proxy transparente. Los usuarios no pueden ser engañados para que seleccionen ningún otro método de inicio de sesión.
En el pasado, también hemos observado a atacantes que intentan convencer a usuarios privilegiados de que retiren físicamente su llave de seguridad FIDO2, con la esperanza de que las políticas de autenticación aún permitan el acceso utilizando una alternativa menos segura. En ataques más recientes, los actores de *phishing* han dirigido a los usuarios inscritos en llaves FIDO a páginas de inicio de sesión que los engañan haciéndoles pensar que su llave está defectuosa, nuevamente con la esperanza de que el usuario elija manualmente un factor que no sea resistente al *phishing*. Estos ataques de "degradación de MFA" solo son posibles si el usuario está inscrito en formas más débiles de autenticación y la resistencia al phishing no es obligatoria en la política.
Algunos métodos de autenticación avanzados pueden ir más allá de lo que FIDO2 puede lograr. Por ejemplo, cuando la resistencia al phishing está habilitada en la política, FastPass tanto previene que el usuario se vea comprometido como también crea un evento de detección en el Okta System Log que se puede usar para identificar si algún otro usuario ha interactuado con el kit de phishing. También verifica el contexto del dispositivo cada vez que un atacante intenta reproducir un token de sesión robado usando malware ladrón de información desde un dispositivo diferente. Cuando se combina con Identity Threat Protection, FastPass puede invocar automáticamente un evento de “Cierre de Sesión Universal”, cerrando la sesión de un usuario comprometido en las aplicaciones de etapa final y, si se desea, en su dispositivo.
Entonces, si inscribo a los usuarios en autenticadores resistentes al phishing, ¿estoy a salvo?
Si todos sus usuarios están inscritos en autenticadores resistentes al phishing, habrá realizado la mayor parte del trabajo.
Lo siguiente que debe hacer es asegurarse de que la resistencia al phishing se aplique en la política. Esto implica configurar cada regla de política de autenticación para que requiera específicamente resistencia al phishing.
Okta Identity Engine también permite a los administradores crear listas de permitidos (o denegar) métodos de autenticación específicos en las reglas de la política.
Para obtener información sobre cómo FastPass aplica la resistencia al phishing en diferentes sistemas operativos y navegadores, consulte el documento técnico de Okta FastPass.
Si está seguro de que sus usuarios ya no requieren formas más débiles de autenticación (factores basados en el conocimiento, SMS, etc.), recomendamos que se deshabiliten o se restrinjan a escenarios específicos de bajo riesgo donde también se puedan aplicar controles de compensación.
Para acceder al aviso de amenazas detallado sobre esta campaña de ingeniería social, los contactos de seguridad de los clientes de Okta pueden iniciar sesión en el Okta Security Trust Center.
