Un nuevo exploit permite a los piratas informáticos falsificar solicitudes de autenticación de dos factores enviando a un usuario a una página de inicio de sesión falsa y luego robando el nombre de usuario, la contraseña y la cookie de sesión.
El jefe de piratería informático de KnowBe4 Kevin Mitnick mostró el truco en un video público. Al convencer a una víctima de que visite un dominio de escritura errática como “LunkedIn.com” y capturar el nombre de usuario, la contraseña y el código de autenticación, el hacker puede pasar las credenciales al sitio real y capturar la cookie de sesión. Una vez hecho esto, el hacker puede iniciar sesión indefinidamente. Esto esencialmente utiliza el código 2FA de una sola vez como una forma de burlar un inicio de sesión y tomar datos.
“Un hacker amigo del sombrero blanco de Kevin desarrolló una herramienta para eludir la autenticación de dos factores utilizando tácticas de ingeniería social, y puede ser armada para cualquier sitio”, dijo Stu Sjouwerman, CEO de KnowBe4. “La autenticación de dos factores pretende ser una capa adicional de seguridad, pero en este caso, vemos claramente que no puede confiar solo en él para proteger su organización”.
El hacker del sombrero blanco Kuba Gretzky creó el sistema, llamado evilginx, y describe su implementación en una publicación maravillosamente completa en su sitio.
Sjouwerman señala que la educación antiphishing es muy importante y que un truco como este es imposible de completar si la víctima es conocedora de la seguridad y los peligros de hacer clic en los enlaces que entran en su casilla de correo electrónico.
Para demostrar esto, Sjouwerman me envió un correo electrónico aparentemente dirigido a mí por Matt Burns ([email protected]) hablando de un error tipográfico en una publicación. Cuando hice clic en él fui transferido a un sitio de redirección de SendGrid y arrojado a TechCrunch, pero la carga útil podría haber sido más nefasta.
“Esto resalta la necesidad de capacitación en concienciación sobre seguridad en las escuelas nuevas y simulación de phishing porque las personas son realmente su última línea de defensa”, dijo Sjouwerman. Él estima que los piratas informáticos comenzarán a probar esta técnica en las próximas semanas e insta a los usuarios y gerentes de TI a endurecer sus protocolos de seguridad.
(Vía TechCrunch.com)
