Las campañas de phishing, en combinación con los ataques man-in-the-middle, son extremadamente potentes y, como tales, su popularidad entre los delincuentes está aumentando.
Esto es según un nuevo informe. (se abre en una pestaña nueva) de Cofense, que encontró en lugar de una sola página de inicio de sesión falsa donde robarían las credenciales, los actores de amenazas están atrayendo a las víctimas a servidores web capaces de intermediar en todo el proceso de autenticación.
Eso significa que, si la víctima cae en el engaño, les dará a los atacantes más que solo su información de inicio de sesión (nombre de usuario y contraseñas), también les dará cookies de sesión y, por lo tanto, les permitirá eludir la autenticación multifactor (MFA). .
Amenaza de phishing
Con eso en mente, la cantidad de correos electrónicos de phishing que llegaron a las bandejas de entrada de las personas creció en más de un tercio (35 %) entre el primer trimestre de 2022 y el primer trimestre de 2023. De todos los ataques de phishing de credenciales man-in-the-middle que llegaron a las bandejas de entrada de las personas, casi todos (94 %) se centró en la autenticación de Office 365.
Finalmente, nueve de cada diez (89 %) de las campañas utilizaron al menos una redirección de URL, mientras que el 55 % utilizó dos o más.
Mientras estos maliciosos (se abre en una pestaña nueva) las páginas de destino pueden parecer casi idénticas a las auténticas, hay algunas cosas que los atacantes simplemente no pueden copiar. Los empleados deben ser conscientes de estas cosas y siempre tenerlas en cuenta antes de iniciar sesión en cualquier lugar, especialmente si el enlace de inicio de sesión proviene de un correo electrónico o un mensaje de redes sociales.
La forma más fácil de determinar si la página de destino es maliciosa es observar más de cerca la URL. Los atacantes intentarán que la URL sea lo más parecida posible a la original, así que busque palabras sospechosas, errores tipográficos o similares. Otra forma de determinar si una página de destino busca sus datos confidenciales es inspeccionar el certificado del sitio web, ya que estos están autorizados por una autoridad de certificación. Los usuarios deben buscar el icono del candado en el navegador web, ya que indica la validez del certificado y la seguridad de la conexión entre el navegador y el destino.
“El nombre común en el certificado del sitio web legítimo es microsoftonline.com. El nombre común en el certificado del servidor man-in-the-middle no tiene nada que ver con Microsoft”, concluyeron los investigadores.