Cómo proteger su MFA contra los ataques de phishing basados en herramientas de proxy inverso

La creciente adopción de la autenticación multifactor (MFA) ha impulsado a los phishers a desarrollar soluciones aún más sofisticadas para promover sus operaciones maliciosas, incluyendo herramientas de proxy inverso. Sin embargo, hay un dato que merece la pena destacar: no son sólo las soluciones MFA, sino los propios tokens los que no tienen las mismas características y nivel de protección contra los ataques de phishing.
phishing-mfa-ciberataque

La creciente adopción de la autenticación multifactor (MFA)

La autenticación multifactor (MFA) no sólo ha ganado popularidad como resultado del rápido y masivo cambio hacia el teletrabajo. Y lo que es más importante, se ha hecho obligatorio para acceder a determinados productos y para cumplir los requisitos reglamentarios específicos del sector.

Los servicios financieros, por ejemplo, han tenido que cumplir la directiva de la UE PSD2 que les obliga a implantar la autenticación fuerte de clientes (SCA), a través de una solución MFA, para proteger el acceso a los servicios bancarios en línea, los pagos y las transacciones. Por su parte, Google ha decidido recientemente implantar la autenticación de dos factores (2FA o MFA) en todas sus cuentas, mientras que Salesforce acaba de hacer obligatorio MFA para acceder a sus productos.

Recuerde que con una solución de MFA, los usuarios finales deben proporcionar un segundo factor de autenticación distinto del tradicional login+contraseña. Puede ser una contraseña de un solo uso (OTP) enviada por SMS / correo electrónico, o lo que se llama un token de autenticación (token de software o hardware).

Los métodos de los atacantes de phishing para eludir la MFA

Para un phisher (atacante de phishing), el paso adicional del segundo factor de MFA significa que robar la información tradicional de la cuenta (es decir, login + contraseña) ya no es suficiente para obtener el control.

Como resultado, los hackers han tenido que desarrollar soluciones aún más sofisticadas para derrotar a MFA y continuar sus ataques de phishing utilizando herramientas de proxy inverso.

Desde la publicación del reciente informe de Proofpoint, se ha rumoreado que MFA está amenazada por las soluciones de proxy inverso adoptadas por los atacantes de phishing.

Kit de suplantación de identidad MFA

Como indica el informe de Proofpoint, hoy en día es bastante fácil para los phishers comprar kits de MFA por menos del precio de un café. Los investigadores de Proofpoint han identificado varios tipos de kits: desde simples kits de código abierto hasta kits más sofisticados que pueden robar nombres de usuario, contraseñas, tokens deautenticación multifactores (MFA), números de seguridad social y números de tarjetas de crédito.

Herramientas de proxy inverso para eludir el MFA

Más tarde, los investigadores de Proofpoint detectaron un nuevo tipo de kit. Este utiliza un proxy inverso transparente que presenta a la víctima una página que se ve y se siente exactamente como la aplicación legítima. En otras palabras, estos nuevos kits están diseñados para presentar una versión altamente confiable del sitio web original.

El proxy inverso ofrece el mismo contenido en una URL diferente. Cambia las URL sobre la marcha y ofrece la misma experiencia de usuario que la aplicación original. Así, el usuario, o en este caso la víctima, siente realmente que está interactuando con la aplicación legítima.

Todo lo que el atacante tiene que hacer es interceptar cualquier elemento compartido entre la aplicación y el usuario, como las contraseñas y especialmente las cookies de sesión. Una vez robada la cookie de sesión, el atacante puede inyectarla en su propio navegador para robar la sesión de usuario e interactuar con la aplicación como si fuera el usuario legítimo sin necesidad de volver a autenticarse.

Estas nuevas generaciones de kits de phishing que utilizan proxies inversos permiten eludir el ingreso de login/contraseña pero también cualquier otro método de autenticación como 2FA o MFA. En consecuencia, y como señalan los investigadores de Proofpoint, estos kits de phishing van a ir en aumento y podemos esperar que los hackers los adopten con bastante rapidez a medida que MFA se generalice.

Deviceless MFA, EL token de protección contra los kits de phishing dirigidos al MFA

No sólo las soluciones MFA, sino también los propios tokens no tienen las mismas características y nivel de protección contra los ataques de phishing.

Deviceless MFA, ¿de qué se trata?

Deviceless MFA es una tecnología de autenticación multifactor que permite a los usuarios finales autenticar y acceder de forma segura a sus aplicaciones, red y datos desde cualquier navegador. No es necesario poseer un teléfono inteligente, tener una llave física, un teléfono inteligente o un ordenador de empresa, ni instalar una aplicación específica.

"Con Deviceless MFA, es el navegador web el que se convierte en el token de confianza".

Navegador de tokens para contrarrestar los kits de phishing que tienen como objetivo el MFA

El Deviceless MFA es el token más fiable para protegerse de los ataques de phishing. Verifica que el dispositivo de confianza se está utilizando con una aplicación legítima, bloqueando así cualquier intento de phishing realizado en una versión de la aplicación legítima modificada por el proxy inverso utilizando una URL diferente a la legítima.

Autenticación fuerte MFA sin compromiso

Póngase en contacto con nosotros para una demostración o para solicitar su cuenta de prueba

Nivel de seguridad muy alto

inWebo MFA dispone de la tecnología única y patentada de claves aleatorias dinámicas que le permite ofrecer el mayor nivel de seguridad del mercado. Solución certificada por la ANSSI.

Fácil integración y despliegue

Accesible como SaaS, rico en conectores, APIs y SDKs, inWebo MFA se adapta a sus limitaciones técnicas, sin imponer otras nuevas. Desplegar un MFA rápidamente y a gran escala, sin contacto humano y sin logística.

Experiencia de usuario sin contraseña y sin dispositivos

inWebo le permite ofrecer una experiencia de usuario simplificada, extendida a todas las dimensiones de la autenticación, desde la inscripción hasta el inicio de sesión, gracias a sus tokens universales, sin contraseña y sin dispositivo.

Reciba las últimas noticias sobre autenticación fuerte

Nuestras últimas noticias

Solicite una demostración