Mediante estas técnicas, los atacantes pueden obtener acceso a largo plazo a entornos de correo electrónico en la nube y de identidades sin necesidad de robar contraseñas ni activar las alertas de seguridad habituales.
Esta modalidad mediante códigos de dispositivos presenta ventajas frente a la manera tradicional de credenciales en cuanto a sigilo, persistencia y evasión.
La última investigación de Barracuda Networks ha detectado este gran incremento en los últimos días.
Una nueva investigación de Barracuda Networks ofrece una visión detallada de cómo los atacantes aprovechan la autenticación mediante códigos de dispositivos para obtener acceso persistente y autorizado a servicios como Microsoft 365 y Entre ID. Los ataques están aumentando rápidamente a medida que el phishing de códigos de dispositivos se industrializa a través de herramientas de phishing como servicios como el kit Evil Tokens, del que se ha informado recientemente. Barracuda detectó 7 millones de ataques de phishing de códigos de dispositivos en las últimas cuatro semanas.
La autenticación mediante código de dispositivo permite a los usuarios iniciar sesión en un dispositivo introduciendo un código corto en otro dispositivo de confianza. Se utiliza a menudo en dispositivos con interfaces limitadas, como televisores, impresoras o herramientas de interfaz de línea de comandos (CLI). El phishing mediante códigos de dispositivos es una técnica en la que los atacantes engañan a los usuarios para que introduzcan un código de inicio de sesión legítimo en una página de inicio de sesión auténtica, autorizando así, sin quererlo, el dispositivo del atacante en lugar del suyo.
El método de ataque es el siguiente: los atacantes solicitan un código de dispositivos auténtico a Microsoft y, a continuación, envían a las víctimas un mensaje de phishing que las incita a introducir el código en una página de inicio de sesión legítima, como "Microsoft.com/devicelogin". La víctima completa la autenticación y Microsoft emite el token de acceso y el token de actualización de OAuth, que pasan directamente a manos del atacante.
El phishing mediante códigos de dispositivo presenta varias ventajas con respecto al phishing tradicional de credenciales, que utiliza páginas de inicio de sesión falsas. Por ejemplo:
Se basa en enlaces legítimos, sin URL sospechosas: el phishing tradicional requiere una página web falsa convincente, que los filtros de correo electrónico pueden detectar fácilmente. El phishing mediante códigos de dispositivos utiliza URL de autenticación oficiales, lo que dificulta la identificación de actividades maliciosas.
Elude la autenticación multifactorial y cualquier política de acceso condicional: dado que es la propia víctima quien autoriza el nuevo dispositivo, los atacantes obtienen un token de acceso válido que supera a estos controles de seguridad.
Acceso persistente y a largo plazo: una vez que la víctima introduce el código, el atacante recibe un token de actualización que le permite mantener el acceso a la cuenta del usuario durante días o semanas, incluso si este cambia su contraseña.
Aprovecha la confianza y la familiaridad del usuario: la gente está acostumbrada a introducir un código de entre 6 y 8 caracteres para vincular sus dispositivos.
Movimiento lateral más sigiloso: el atacante puede secuestrar la sesión discretamente sin dar la voz de alarma.
Si el phishing de códigos de dispositivos tiene éxito, los atacantes pueden obtener acceso a largo plazo a entornos de correo electrónico en la nube y de identidades sin necesidad de robar contraseñas ni activar las alertas de seguridad habituales.
"El phishing de códigos de dispositivos se ha industrializado como parte de un modelo PhaaS, lo que lo convierte en una amenazas peligrosa y escalable", afirmó Saravanan Mohankumar, responsable del equipo de análisis de amenazas de Barracuda. "Las defensas de seguridad deben adaptarse rápidamente. Los controles de seguridad por capas, que incluyen el filtrado avanzado del correo electrónico, los mecanismos de protección de la identidad y la supervisión continua, pueden limitar significativamente la exposición. Además, aplicar controles estrictos en los flujos de autorización de dispositivos y concienciar sobre la importancia de introducir los códigos de verificación solo en contextos de confianza puede ayudar a evitar que estos ataques tengan éxito."
