La autenticación multifactor (MFA) es esencial para proteger el acceso, pero no es infalible y puede ser vulnerada con tácticas de ingeniería social. La seguridad en capas, incluida una contraseña robusta, es clave.

1.Ataques de adversario en el medio (AITM): Los piratas informáticos engañan a usuarios haciéndoles creer que están ingresando a un sitio auténtico, pero en realidad proporcionan sus credenciales a un sitio falso. Utilizan tácticas como la “transmisión 2FA”, donde ingresan rápidamente los detalles de inicio de sesión en el sitio legítimo después de que la víctima lo hace en el sitio falso, activando una solicitud MFA auténtica. Esto les otorga acceso completo sin el conocimiento de la víctima. Este tipo de ataque es frecuente entre grupos de amenazas como Storm-1167, quienes crean páginas de phishing para recopilar credenciales y solicitar códigos MFA. Una vez que obtienen acceso, utilizan las cuentas legítimas para llevar a cabo ataques de phishing más sofisticados.

2.Bombardeo inmediato del MFA: Los piratas informáticos explotan la función de notificación automática en aplicaciones de autenticación. Después de comprometer una contraseña, envían repetidamente mensajes MFA al dispositivo del usuario, esperando que confundan los mensajes genuinos con los falsos y terminen concediendo acceso. Esta técnica puede llevar a una fatiga del usuario, lo que aumenta la probabilidad de que acepten uno de los mensajes falsos para detener las notificaciones continuas. Es importante destacar que esta estrategia puede ser especialmente efectiva en situaciones donde los usuarios pueden estar distraídos o bajo presión, lo que puede disminuir su capacidad para discernir entre las solicitudes legítimas y las fraudulentas.

3.Ataques a la mesa de servicio: Los atacantes manipulan los servicios de asistencia técnica, fingiendo olvidar contraseñas y obteniendo acceso a través de llamadas telefónicas. Manipulan procedimientos de copia de seguridad y recuperación para eludir la MFA.

4.Intercambio de SIM: Los ciberdelincuentes aprovechan la MFA basada en teléfonos móviles mediante el ‘intercambio de SIM’, tomando el control del número de teléfono del objetivo para interceptar indicaciones de MFA y acceder a cuentas. El grupo LAPSUS$ utiliza esta técnica, junto con bombardeos rápidos de MFA y manipulación del servicio de asistencia, para obtener acceso a organizaciones objetivo.

La confianza absoluta en MFA no es recomendable; la seguridad de las contraseñas sigue siendo fundamental. Hay varias formas de burlar la MFA, como comprometer puntos finales, exportar tokens, explotar SSO y aprovechar vulnerabilidades sin parches. Aunque la MFA es valiosa, no puede reemplazar por completo la protección de las contraseñas. Las contraseñas débiles o comprometidas son el punto de partida de muchos ataques. Herramientas como Specops Password Policy pueden fortalecer las contraseñas y detectar aquellas comprometidas, asegurando que la MFA actúe como una capa adicional de seguridad en lugar de depender exclusivamente de ella.
Fuente:https://thehackernews.com