CyberArk es nombrado líder en el cuadrante mágico de Gartner de 2020 para la gestión de acceso privilegiado | Business Wire

Adaptación del articulo “Don’t Fall for MFA Fatigue or Next-Level Phishing Attacks”  https://www.cyberark.com/resources/threat-research/don-t-fall-for-mfa-fatigue-or-next-level-phishing-attacks

Los ataques de phishing son omnipresentes, ya sea que trabaje en una empresa de telecomunicaciones global o en una pequeña tienda minorista local. Afortunadamente, los empleados han recorrido un largo camino en la detección de intentos de phishing, especialmente los de la variedad de correo electrónico: solo el 2.9% puede hacer clic en correos electrónicos de phishing, según el último DBIR de Verizon. Sin embargo, los ataques a varias grandes empresas de tecnología muestran cuán sofisticados se han vuelto algunos esquemas de phishing de múltiples frentes.

El phishing se puede abordar desde varios ángulos, utilizando una lista en constante expansión de tácticas, técnicas y procedimientos de ataque (TTP). Lo que bloquea un intento de phishing un día podría no detenerlo en su siguiente ataque, por lo que las defensas en capas son imprescindibles. Comprender dónde enfocarse y cuándo puede ayudar a los ciberdefensores a obtener una ventaja. Con ese fin, estamos explorando cinco factores observados en estos ataques de phishing de alto perfil, junto con consejos de reducción de riesgos cibernéticos de CyberArk Labs y Red Team.

Aspectos comunes de los ataques de phishing:

  1. Ingeniería social para identificar a las personas que trabajan en organizaciones tecnológicas específicas.

Los líderes de seguridad encuestados recientemente clasificaron la capacitación en concientización sobre seguridad como la segunda estrategia de defensa en profundidad más efectiva para la protección contra ransomware. Realice sesiones de capacitación y educación de rutina para ayudar a incorporar un comportamiento consciente de la seguridad en la cultura organizacional, y mantenga a los empleados informados sobre la evolución de las técnicas de ingeniería social y ataques de phishing. Considere mejorar estos entrenamientos con ejercicios de phishing ético. Y asegúrese de que sus filtros de spam funcionen como deberían para detener el flujo de correos electrónicos sospechosos, campañas masivas y materiales de marketing no solicitados para que no lleguen a las bandejas de entrada de los empleados.

  1. Compromiso de identidad a través del robo de credenciales de primer factor para ingresar a la red. Por ejemplo, a través de ataques man-in-the-middle (MitM) que interceptan contraseñas, o apuntando a contraseñas en caché almacenadas en los navegadores de los usuarios.

27 estadísticas cruciales de ciberseguridad y hechos que debe conocer en 2022

Las campañas de concientización no siempre pueden evitar que un usuario sufra phishing. Dice Shay Nahari, vicepresidente de Red Team Services en CyberArk: “En el gran esquema de las estrategias de defensa, la administración de privilegios de punto final que puede proteger las credenciales del lado del cliente y ayudar a prevenir el robo de cookies que podrían permitir la omisión de MFA, es una capa importante”. Al implementar controles de seguridad de punto final, considere priorizar a los usuarios que tienen un historial de intentos de phishing al hacer click.

  1. Ataques de fatiga de MFA que utilizan SMS y phishing de voz para hacerse pasar por fuentes confiables, solicitar al usuario que apruebe las notificaciones de MFA, «fatigar» al usuario con numerosos impulsos de MFA y luego obtener acceso a la VPN corporativa y otros sistemas de destino una vez que el usuario responde al ataque.

Los atacantes continúan encontrando nuevas formas de atacar MFA y eludir los controles de seguridad. La selección de factores MFA resistentes al phishing , como FIDO, códigos QR o tokens físicos, puede ayudar a frustrar estos esfuerzos.

Un método para mitigar la fatiga de MFA es cambiar la configuración del MFA de su organización para requerir una contraseña de un solo uso (OTP) en lugar de una notificación automática”, dice Nahari. “Cuando se enfrentan a mensajes de autenticación y puntos de contacto repetidos, los usuarios a menudo pueden volverse descuidados y, sin saberlo, crear oportunidades para los atacantes. Si bien OTP requiere una mayor participación del usuario, puede mitigar el riesgo asociado con la fatiga de MFA”.

Blog - Acceso condicional y MFA | OptimumTIC

El continua “Como parte de los ejercicios de simulación de adversarios de mi equipo, observamos diferentes tipos de detecciones, incluidos indicadores duros de compromiso (IOC). Los IOC duros son fundamentales para un ataque específico. En el caso de fatiga de MFA, el atacante ya tiene acceso a las credenciales y necesita solicitar al usuario que apruebe la notificación de MFA para obtener acceso. Si una organización logra bloquear la fatiga de MFA, el atacante se verá obligado a elegir otra ruta de ataque. La configuración de OTP puede hacer que el usuario sea menos susceptible a este tipo de ataque y reducir significativamente el riesgo”.

Un enfoque más fácil de usar es requerir la coincidencia de números para una autenticación MFA exitosa. Con la coincidencia de números, a los usuarios que responden a las notificaciones automáticas de MFA mediante la aplicación de autenticación se les presenta un número. Deben escribir ese número en la aplicación para completar la aprobación. Durante un ataque de phishing, el usuario final no tiene conocimiento de la secuencia numérica correcta y, por lo tanto, no puede aprobar la solicitud.

En el siguiente Enlace, encontraremos mas detalle sobre el servicio de MFA que nos provee el fabricante Cyberark para evitar estos tipos de ataques.

Cuando se protege contra ataques MFA de todo tipo, es importante exigir MFA cada vez que se cambia un perfil personal para evitar que las acciones maliciosas pasen desapercibidas y configurar revisiones proactivas de eventos de riesgo. Además, su SOC puede aprovechar el análisis del comportamiento de los usuarios para establecer disparadores contextuales que notifiquen si se detectan comportamientos anómalos o bloquear la autenticación de usuarios de direcciones IP sospechosas.

  1. Movimiento lateral para establecer persistencia, encubrir pistas y comprometer sistemas y servidores adicionales. Escalamiento de privilegios para llegar a los sistemas críticos, incluidos los controladores de dominio.

Imponga privilegios mínimos en toda la infraestructura, las aplicaciones y los datos. Parece un concepto sencillo, pero puede ser particularmente difícil hacerlo a escala. Ahí es donde entran en juego los controles de privilegios inteligentes, que ayudan a asegurar el acceso sin problemas para todas las identidades y automatizar de manera flexible el ciclo de vida de la identidad con detección y prevención continuas de amenazas, junto con análisis de comportamiento, para proteger sus activos más críticos.

  1. Exfiltración de datos.

En uno de los últimos ataques de phishing, los actores de amenazas supuestamente intentaron volver a la red después de filtrar datos y ser detectados y eliminados. Para hacerlo, se dirigieron a los empleados que pueden haber realizado cambios de un solo carácter en sus contraseñas después de un restablecimiento de credenciales obligatorio. Afortunadamente, los atacantes no tuvieron éxito, pero siempre vale la pena reiterar las prácticas seguras de contraseñas . Mejor aún, elimine la carga de los usuarios por completo brindándoles una forma de generar automáticamente contraseñas únicas y seguras.

El phishing ha alcanzado nuevos niveles de innovación, con eventos recientes que muestran hasta dónde llegarán los atacantes para engañar a sus víctimas desprevenidas, o cansadas de MFA. La protección antiphishing efectiva debe involucrar elementos de seguridad tanto técnicos como humanos, asumir que los clics no autorizados son inevitables y enfocarse en detectar amenazas rápidamente antes de que se conviertan en un phishing más grande para freír.