Recientemente, se utilizó un enlace de phishing enviado desde la cuenta oficial de Instagram de Bored Ape para robar $ 1 millón de NFT de Bored Ape Yacht Club. La mayoría de las personas no pueden entender cómo podría suceder esto si la cuenta de la empresa estuviera protegida por 2FA, por lo que este artículo pretende explicar cómo es bastante fácil para los actores de amenazas robar sus códigos 2FA con una técnica de phishing que ha sido utilizada por smart piratas informáticos durante años.
Cómo funciona un ataque de phishing de proxy inverso
Las estafas típicas de phishing que probablemente conozca involucran una URL de phishing y un sitio web falsificado. Una estafa de phishing de proxy inverso es diferente y mucho peor. En lugar de ser llevada a un sitio web falso, la víctima recibe contenido auténtico del sitio web legítimo. El proxy inverso redirige silenciosamente todo el tráfico y todo lo que el usuario escribe en el sitio legítimo al servidor proxy.
Las credenciales y la información confidencial, como una contraseña o una dirección de billetera criptográfica ingresada por el usuario, se transmiten automáticamente al actor de amenazas. El proxy inverso también recopila tokens 2FA cuando lo solicita el sitio web. Los atacantes pueden recopilar estos tokens 2FA en tiempo real para acceder a las cuentas de las víctimas. Sospecho que esto es lo que le sucedió a un miembro del equipo del Bored Ape Yacht Club.
Una herramienta de prueba de penetración publicada en 2019 por un investigador de seguridad puede automatizar los ataques de phishing con una facilidad nunca antes vista. Llamada Modlishka, la pronunciación en inglés de la palabra polaca para mantis, esta nueva herramienta fue creada por el investigador polaco Piotr Duszyński. Cuando le pregunté a Piotr si este tipo de ataque puede eludir cualquier solución 2FA en el mercado, dijo
“Hola Pablo, sí. La mayoría de los que se utilizan actualmente, que yo sepa. El único 2FA resistente se basa en el estándar WebAuthn”.
Desafortunadamente, muy pocas personas usan soluciones 2FA basadas en WebAuthn. A menos que una solución de seguridad pueda detectar la URL de phishing, este ataque es imposible de detener porque la seguridad tradicional de red, nube y punto final se basa en la tarea imposible de detectar millones de nuevas URL maliciosas creadas por delincuentes cada mes.
Aquí hay un video de cómo funciona. ¡Cosas de miedo!
Marcus Hutchsins es uno de los piratas informáticos más famosos del mundo que pasó del lado oscuro a convertirse en un sombrero blanco, cuando detuvo el ataque del ransomware WannaCry. Tras el último hackeo de Twitter en el que el phishing fue el punto de entrada, escribió…
Inmediatamente reconocí esto como la técnica de phishing de proxy inverso sobre la que escribí por primera vez en 2019. Le pedí a Marcus que volviera a confirmar mis suposiciones con una pregunta directa y no me defraudó…
Sí, pero no con la seguridad tradicional. Zero Trust URL & Web Access Authentication es la ÚNICA forma de detener un ataque de phishing de proxy inverso porque asume que cada URL es peligrosa, a menos que se verifique. Me gusta llamar a esto: “No confíes en la URL, siempre verifica”. La IA, la visión por computadora y los navegadores virtuales no son efectivos ni confiables porque se basan en la detección de signos de peligro en las páginas web; recuerde, la técnica de phishing de proxy inverso utiliza el sitio web legítimo, por lo que NO hay signos de peligro.
Después de pasar muchos años estudiando este tema, me di cuenta de que Internet Security tiene fallas de diseño: tratar de detectar y detener las URL peligrosas era, y sigue siendo, una batalla perdida. Así que le pedí a mi equipo en MetaCert que probara un experimento social llamado “Verificado por MetaCert”. Cuando más tarde descubrimos el concepto de “Zero Trust”, nos dimos cuenta de que, de hecho, habíamos sido pioneros en el concepto de Zero Trust para la autenticación de URL y acceso web. Wired escribió un excelente artículo sobre Zero Trust aquí.
Tanto Yubikey como MetaCert ofrecen el mismo tipo de seguridad. Desafortunadamente, Yubikey solo brinda protección en unos pocos cientos de sitios web y servicios, y requiere que cada usuario tenga un dispositivo de hardware que se conecte a su teléfono o computadora. MetaCert, por otro lado, es una extensión de seguridad basada en navegador que brinda protección en 50 mil millones de URL, pero hoy solo funciona en computadoras de escritorio.