Los atacantes de seguridad empresarial están a una contraseña de su peor día

El hacker Kevin Mitnick muestra cómo eludir 2FA

by

in

Un nuevo exploit permite a los piratas falsificar solicitudes de autenticación de dos factores enviando a un usuario a una página de inicio de sesión falsa y luego robando el nombre de usuario, la contraseña y la cookie de sesión.

El director de piratería de KnowBe4, Kevin Mitnick, mostró el truco en un video público. Al convencer a una víctima de que visite un dominio con errores tipográficos como “LunkedIn.com” y capturar el nombre de usuario, la contraseña y el código de autenticación, el pirata informático puede pasar las credenciales al sitio real y capturar la cookie de sesión. Una vez hecho esto, el hacker puede iniciar sesión indefinidamente. Básicamente, esto utiliza el código 2FA único como una forma de falsificar un inicio de sesión y obtener datos.

“Un amigo hacker de sombrero blanco de Kevin desarrolló una herramienta para eludir la autenticación de dos factores usando tácticas de ingeniería social, y puede utilizarse como arma para cualquier sitio”, dijo Stu Sjouwerman, CEO de KnowBe4. “La autenticación de dos factores pretende ser una capa adicional de seguridad, pero en este caso, vemos claramente que no puede confiar solo en ella para proteger su organización”.

El hacker de sombrero blanco Kuba Gretzky creó el sistema, llamado malvado, y describe su implementación en un maravilloso y completo publicar en su sitio.

Sjouwerman señala que la educación contra el phishing es muy importante y que un truco como este es imposible de completar si la víctima conoce la seguridad y los peligros de hacer clic en los enlaces que llegan a su casilla de correo electrónico. Para demostrar esto, Sjouwerman me envió un correo electrónico aparentemente dirigido a mí de Matt Burns (matt@techcrunch.com) hablando de un error tipográfico en una publicación. Cuando hice clic en él, me transfirieron a un sitio de redirección de SendGrid y me enviaron a TechCrunch, pero la carga útil podría haber sido más nefasta.

“Esto resalta la necesidad de una capacitación de concientización sobre seguridad de la nueva escuela y phishing simulado porque las personas son realmente su última línea de defensa”, dijo Sjouwerman. Él estima que los piratas informáticos comenzarán a probar esta técnica en las próximas semanas e insta a los usuarios y administradores de TI a fortalecer sus protocolos de seguridad.


Source link