Proteja la autenticación multifactor (MFA) de los proxies de phishing con F5 BIG-IP APM y la protección contra bots en la nube distribuida.

Un ataque de phishing en tiempo real comienza con un mensaje de phishing enviado por mensaje de texto, correo electrónico o una página web. El mensaje de phishing contiene un enlace que lleva al usuario a un dominio controlado por el atacante que está diseñado para redirigir todas las solicitudes a la aplicação de destino. Desde la perspectiva del usuario, todo parece legítimo, excepto el nombre de dominio, que suele elegirse para parecerse lo más posible al real. 

Engañado por el proxy de phishing, el usuario ingresa sus credenciales. En el caso de la autenticación de un solo factor, esta entrada de credenciales es suficiente para que el atacante obtenga acceso a la cuenta. En el caso de 2FA, el proxy de phishing en tiempo real envía las credenciales a la aplicação legítima, lo que activa la solicitud de 2FA. Lamentablemente, el usuario, que todavía cree que está interactuando con la aplicação legítima, probablemente aceptará la 2FA y aceptará cualquier solicitud que se le haga. 

Los proxies de phishing inverso pueden comprometer casi todas las formas de 2FA:

• 2FA basada en servicio de mensajes cortos (SMS). En una autenticación de dos factores (2FA) por SMS, el sistema de autenticación envía un mensaje de texto al usuario con un código de un solo uso (OTP), que este introduce en la aplicación. Durante un ataque de phishing por proxy, el usuario introduce el código directamente en la aplicación maliciosa, que a su vez lo redirige a la aplicación legítima, lo que permite el acceso al atacante. La misma lógica se aplica a 2FA cuando el OTP se envía por correo electrónico. Si el mecanismo implica que el usuario escriba el OTP en una aplicación, un ataque de proxy de phishing en tiempo real puede obtener acceso a ese OTP.
• Token de hardware 2FA. Los tokens de hardware, que son dispositivos físicos que generan claves a intervalos de tiempo fijos siguiendo un algoritmo criptográfico, cumplen la misma función que los OTP en la 2FA basada en SMS. Al mirar el dispositivo, el usuario escribe la clave en la aplicação. Cuando un proxy de phishing en tiempo real lo engaña para que escriba esa clave en una aplicação maliciosa, el atacante obtiene acceso a la cuenta. En cierto sentido, enviar el token por SMS, correo electrónico o hardware no supone ninguna diferencia para el proxy de phishing en tiempo real. (Por el contrario, las claves de hardware FIDO2/U2F no son susceptibles de suplantación de identidad porque el navegador colabora con la clave de hardware en la vinculación del origen).
• 2FA basada en aplicación. Las aplicaciones de autenticación móvil como Google Authenticator y Duo Mobile generan tokens de la misma manera que los dispositivos de hardware. Nuevamente, se espera que los usuarios ingresen el token en la aplicación. Si se engaña al usuario para que lo ingrese en una aplicación maliciosa, el atacante obtiene acceso a la aplicação real.
• 2FA basado en push. Ciertamente, cualquier mecanismo 2FA que implique que el usuario escriba un OTP en una aplicação se puede romper engañando al usuario para que escriba el OTP en una aplicação maliciosa. ¿Pero qué pasa con la autenticación de dos factores basada en push, que no requiere que el usuario escriba un OTP en una aplicação? Por el contrario, en un sistema basado en push, la aplicação, al recibir una solicitud de inicio de sesión, activa una solicitud a un sistema de notificación push que da como resultado que el usuario reciba una notificación en su dispositivo móvil. El usuario sólo tiene que hacer clic una vez para aceptar la solicitud. Una vez que esto ocurre, el sistema de notificaciones push realiza una llamada API a la aplicação indicando que la autenticación push ha sido exitosa y la aplicação completa el proceso de autenticación, otorgando acceso al usuario. En este escenario, el proxy de phishing nunca recibe el token porque se pasa directamente a la aplicação. Sin embargo, el delincuente aún obtiene acceso a la cuenta porque la aplicação eventualmente entregará el token de sesión autenticado a la aplicação a través del proxy, lo que le permite al atacante capturarlo y usarlo para acceder a la aplicação usando la identidad de la víctima.

Debemos esperar que los ataques de proxy de phishing en tiempo real aumenten porque los proxies de phishing como servicio (PhaaS), como EvilGinx, Muraena y Modlishka, hacen que sea notablemente fácil para los delincuentes al proporcionarles todo lo que necesitan para lanzar estos ataques:

• Plantillas de correo electrónico de phishing que engañan a los usuarios para que visiten sitios maliciosos
• Servidores web alojados que imitan aplicaciones de destino
• Bases de datos para almacenar credenciales robadas
• Supervisión en tiempo real
• Mecanismos de defensa para frustrar a los investigadores de seguridad
• Documentación y atención al cliente

El tráfico que pasa a través de un proxy de phishing tiene características distintivas: El nombre de dominio no coincidirá con el del sitio real, el HTML y el JavaScript pueden alterarse para adaptarse al cambio de nombre de dominio y la sincronización y las firmas TLS pueden alterarse. Al utilizar muchas de las mismas señales de red y del lado del cliente que se usan para distinguir a los bots de los humanos, Distributed Cloud Bot Defense puede detectar las anomalías que distinguen a los servidores proxy de phishing en tiempo real y, de ese modo, resolver una de las amenazas más comunes contra MFA.

BIG-IP APM es una solución de gestión de acceso flexible y de alto rendimiento para aplicaciones y API. Proporciona servicios de autenticación a las aplicações conectando servicios de identidad empresarial , como Active Directory, proveedores LDAP y RADIUS, a protocolos de autenticación modernos, como SSO, federación de acceso, OAuth 2.0, SAML y OIDC. 

BIG-IP APM incluye soporte para autenticación avanzada , brindando OTP 2FA basado en SMS listo para usar. Además, BIG-IP APM se integra con la mayoría de las soluciones MFA líderes, incluidas las de Cisco Duo, Okta, Azure AD y otras. 

Debido al papel central que desempeña BIG-IP APM en el proceso de autenticación de muchas empresas, es un lugar ideal para implementar Distributed Cloud Bot Defense para proteger a los usuarios de ataques de proxy de phishing en tiempo real que usan la automatización para eludir las protecciones de MFA.