Los piratas informáticos buscan robar los inicios de sesión de Microsoft usando algunos trucos nuevos y tortuosos: aquí le mostramos cómo mantenerse a salvo
- Un nuevo esquema de phishing otorga con éxito la mayoría de las herramientas de seguridad
- Abusa de los anuncios y la herramienta de servicios de la federación de Active Directory de Microsoft
- Está diseñado para robar credenciales de inicio de sesión, por lo que los usuarios deben tener cuidado
Los cibercriminales han encontrado una forma inteligente de hacer que los sitios de phishing se parezcan a páginas de inicio de sesión legítimas, robando con éxito Microsoft Credenciales, los expertos han advertido.
Los investigadores de ciberseguridad de Push Security recientemente publicaron un informe en profundidad sobre cómo funciona la estafa, describiendo cómo los atacantes crearon páginas de inicio de sesión falsas que imitaban las auténticas pantallas de inicio de sesión de Microsoft 365.
Luego, en lugar de enviar a las víctimas directamente al sitio, lo que probablemente será marcado por soluciones de seguridad y bloqueadas rápidamente, utilizaron una función de Microsoft llamada Active Directory Federation Services (ADFS). Las empresas normalmente lo usan para conectar sus sistemas internos a los servicios de Microsoft.
Cómo mantenerse a salvo
Al configurar su propia cuenta de Microsoft y configurarla con ADFS, el servicio de Microsoft se engaña para redirigir a los usuarios al sitio de phishing, mientras hace que el enlace se vea legítimo porque comienza con algo como ‘Outlook.office.com’.
Además, el enlace de phishing no estaba siendo distribuido por correo electrónico, sino más bien malvertido. Las víctimas estaban buscando “Office 265”, que presumiblemente era un error tipográfico, y luego fueron llevados a una página de inicio de sesión de la oficina. El anuncio también usó un blog de viajes falso – BlueGraintours[.]com – como un paso medio para ocultar el ataque.
La forma en que se estableció toda la campaña la hizo particularmente peligrosa. Parece que el enlace provenía de Microsoft, y pasaba por éxito muchas herramientas de seguridad verificando los enlaces malos, su tasa de éxito probablemente fue más alta en comparación con el phishing “tradicional”.
Además, dado que no depende del correo electrónico, los filtros de correo electrónico habituales no pudieron atraparlo. Finalmente, la página de destino podría incluso pasar por alto la autenticación de factores múltiples (MFA), que lo hizo aún más peligroso.
Para evitar que tales estafas causen daños reales, los equipos de TI deben bloquear los anuncios, o al menos monitorear el tráfico de anuncios, y observar las redirecciones de las páginas de inicio de sesión de Microsoft a dominios desconocidos.
Finalmente, los usuarios deben tener cuidado al escribir en términos de búsqueda: un error tipográfico simple puede conducir a un anuncio falso que puede dar como resultado un compromiso del dispositivo y la adquisición de la cuenta.
A través de Computadora de soplado
