Las cuentas de Microsoft 365 se han convertido en un objetivo cada vez más atractivo para los ciberdelincuentes, debido a que una configuración de seguridad deficiente, contraseñas débiles y la falta de autenticación multifactor pueden abrir la puerta a los accesos no autorizados para robar información. Tanto es así que, recientemente, la compañía de ciberseguridad Proofpoint ha detectado un aumento de tomas de control de cuentas de Microsoft 365.
Dicha mala acción está impulsada por ciberdelincuentes que abusan de las de las autorizaciones OAuth —un proceso de inicio de sesión legítima de Microsoft— y empieza con un mensaje inicial que incluye una URL incrustada en un botón, un texto con hipervínculo o dentro de un código QR.
Proofpoint indica que, cuando el usuario accede a la URL, empieza una secuencia de ataque que aprovecha el proceso legítimo de autorización de dispositivos de Microsoft. Concretamente, a la víctima le llega un código de dispositivo a través de la página de destino o en un correo electrónico enviado por el atacante, que, en verdad, el código es una contraseña de un solo uso para forzar al afectado a introducirlo en la URL de Microsoft. De esta manera, cuando se introduce la credencial, se otorga al atacante el acceso a la cuenta de Microsoft 365.
Los investigadores de Proofpoint apuntan que “esta tendencia marca una evolución importante en el phishingque desplaza los ataques del robo de contraseñas hacia el abuso de flujos de autenticación de confianza, mientras se hace creer a los usuarios que están protegiendo sus cuentas”.
Los ciberdelincuentes acceden a las cuentas de Microsoft 365 por ataques de phishing
el phishing mediante códigos de dispositivos consisten en el empleo de enlaces maliciosos, textos con hipervínculos y códigos QR para engañar a los usuarios que visitan sitios web fraudulentosabriendo la puerta a posibles robos de datos y movimientos laterales dentro de una red.
Desde Proofpoint explican que “existen herramientas que facilitan la expansión de estos ataques, como los kits SquarePhish2 y Graphish, así como aplicaciones maliciosas a la venta en foros de hacking que automatizan y amplían el phishing con códigos de dispositivo, reduciendo las barreras técnicas para los atacantes”.
Así puedes evitar el robo de cuentas de Microsoft 365
Ante esta situación, Proofpoint recomienda bloquear el flujo de códigos de dispositivo. Sin embargo, si esto no es posible, los usuarios pueden implementar un enfoque basado en listas de permitidos, restringido a casos de uso específicos y justificados, que requieran que los inicios de sesión se realicen desde dispositivos conformes o previamente registrados. Además, esta medida debe acompañarse de programas de concienciación y capacitación para los usuarios, reforzando su capacidad de detectar y prevenir ataques de phishing poco convencionales.
Por otra parte, la compañía de ciberseguridad recomienda reforzar los controles sobre OAuth: “Este aspecto es relevante en un contexto en el que se están adoptando de forma creciente mecanismos de autenticación multifactor resistentes al phishing, como los basados en el estándar FIDO, ya que el abuso de los flujos de autenticaciónn OAuth previsiblemente continuará aumentando a medida que estas tecnologías se generalicen”.
