Alerta: nueva técnica de phishing roba cuentas de Microsoft 365
Publicado el
Campaña de phishing en auge
Recientemente, se ha identificado una nueva campaña de phishing que utiliza ventanas emergentes diseñadas para simular el inicio de sesión en Microsoft 365. Esta técnica, conocida como BitB (Browser-in-the-Browser), permite a los atacantes robar credenciales de manera eficaz al engañar a las víctimas haciéndoles creer que están en una página legítima.
Detalles de la campaña
Los investigadores de Unit 42 de Palo Alto han publicado un informe que incluye una lista de dominios asociados con esta actividad maliciosa en GitHub. El ataque se ejecuta mediante una ventana emergente que se inserta en una página web. Al hacer clic en el botón de inicio de sesión, la víctima es redirigida a una URL de OAuth falsificada, lo que le lleva a rellenar un formulario de inicio de sesión que parece auténtico.
La ventana emergente se asemeja a una ventana normal del navegador, con botones típicos como retroceso, actualizar o cerrar, lo que dificulta que el usuario sospeche de la estafa. Además, los atacantes han optimizado esta técnica para que la ventana se adapte al sistema operativo y navegador que utiliza la víctima, ya sea Windows, Linux o macOS, y navegadores como Chrome, Firefox o Safari.
Medidas de protección
Para evitar caer en esta trampa, se recomienda acceder manualmente a la página de inicio de sesión de Microsoft 365 o cualquier otro servicio, en lugar de utilizar enlaces recibidos a través de correos electrónicos o mensajes de texto. Esta práctica ayuda a mitigar el riesgo de ser víctima de ataques de phishing.
Diferencias entre ventanas legítimas y falsas
A continuación, se presentan algunas características que permiten identificar una ventana de inicio de sesión falsa:
- Barra de direcciones: Una ventana legítima muestra un dominio oficial como login.microsoftonline.com, mientras que la falsa presenta un dominio desconocido. - Comportamiento de la ventana: La legítima puede moverse libremente por la pantalla, mientras que la falsa está limitada a los bordes de la pestaña. - Interacción con la barra de direcciones: En la ventana legítima, se puede editar la URL, mientras que en la falsa, el texto es estático y no permite interacción. - Candado HTTPS: En la ventana legítima, al hacer clic en el candado, se muestran las opciones de seguridad; en la falsa, el icono no tiene funcionalidad. - Botones de minimizar/cerrar: Los botones de la ventana legítima actúan sobre la ventana del navegador, mientras que los de la falsa solo ocultan el cuadro dentro de la página.
Autenticación en dos pasos
Implementar la autenticación en dos pasos es vital para proteger las cuentas. Este método añade una capa adicional de seguridad, requiriendo un segundo paso, como un código enviado a través de aplicaciones como Google Authenticator. Esto es crucial, ya que incluso si un atacante logra robar una contraseña, todavía necesitaría ese segundo factor para acceder a la cuenta.
Actualizaciones constantes
Mantener el sistema operativo y el navegador actualizados es esencial. Los atacantes a menudo explotan vulnerabilidades en software desactualizado, por lo que tener todos los parches instalados reduce significativamente el riesgo de ataques.
Conclusiones
Es fundamental estar alerta al iniciar sesión en Microsoft 365 y otros servicios. La campaña actual que utiliza ventanas emergentes fraudulentas es un claro recordatorio de la importancia de verificar siempre la autenticidad de las páginas web y de utilizar medidas de seguridad adicionales para proteger la información personal.