imágenes falsas
El popular sitio web de discusión Reddit demostró esta semana que su seguridad aún no está a la altura cuando reveló otra brecha de seguridad que fue el resultado de un ataque que phishing con éxito las credenciales de inicio de sesión de un empleado.
En una publicación publicada el jueves, el director técnico de Reddit, Chris «KeyserSosa» Slowe, dijo que después de la violación de la cuenta del empleado, el atacante accedió al código fuente, documentos internos, paneles internos, sistemas comerciales y detalles de contacto de cientos de empleados de Reddit. Una investigación sobre la brecha en los últimos días, dijo Slowe, no ha arrojado ninguna evidencia de que se haya accedido a los sistemas de producción primarios de la compañía o que se haya accedido a los datos de la contraseña del usuario.
“A última hora (PST) del 5 de febrero de 2023, nos enteramos de una sofisticada campaña de phishing dirigida a los empleados de Reddit”, escribió Slowe. “Al igual que en la mayoría de las campañas de phishing, el atacante envió indicaciones que parecían plausibles que indicaban a los empleados un sitio web que clonaba el comportamiento de nuestra puerta de enlace de intranet, en un intento de robar credenciales y tokens de segundo factor”.
Un solo empleado cayó en la estafa, y con eso, Reddit fue violado.
No es la primera vez que una exitosa campaña de phishing de credenciales conduce a la violación de la red de Reddit. En 2018, un ataque de phishing exitoso contra otro empleado de Reddit resultó en el robo de una montaña de datos confidenciales de los usuarios, incluidos datos de contraseñas criptográficamente saladas y codificadas, los nombres de usuario correspondientes, las direcciones de correo electrónico y todo el contenido del usuario, incluidos los mensajes privados.
En esa infracción anterior, la cuenta del empleado phishing estaba protegida por una forma débil de autenticación de dos factores (2FA) que se basaba en contraseñas de un solo uso (OTP) enviadas en un mensaje de texto SMS. Los profesionales de la seguridad han desaprobado la 2FA basada en SMS durante años porque es vulnerable a varias técnicas de ataque. Uno es el llamado intercambio de SIM, en el que los atacantes toman el control de un número de teléfono objetivo engañando al operador de telefonía móvil para que lo transfiera. El otro phishing la OTP.
Cuando los funcionarios de Reddit revelaron la violación de 2018, dijeron que la experiencia les enseñó que «la autenticación basada en SMS no es tan segura como esperaríamos» y «Señalamos esto para alentar a todos aquí a cambiar a 2FA basado en token». ”
Avance rápido unos años y es obvio que Reddit todavía no ha aprendido las lecciones correctas sobre cómo asegurar los procesos de autenticación de los empleados. Reddit no reveló qué tipo de sistema 2FA usa ahora, pero la admisión de que el atacante logró robar los tokens de segundo factor del empleado nos dice todo lo que necesitamos saber: que el sitio de discusión continúa usando 2FA que es lamentablemente susceptible a Ataques de phishing de credenciales.
La razón de esta susceptibilidad puede variar. En algunos casos, los tokens se basan en los impulsos que reciben los empleados durante el proceso de inicio de sesión, generalmente inmediatamente después de ingresar sus contraseñas. El impulso requiere que un empleado haga clic en un enlace o en un botón «sí». Cuando un empleado ingresa la contraseña en un sitio de phishing, tiene todas las expectativas de recibir el impulso. Debido a que el sitio parece genuino, el empleado no tiene motivos para no hacer clic en el vínculo o el botón.
Las OTP generadas por una aplicación de autenticación como Authy o Google Authenticator son igualmente vulnerables. El sitio falso no solo suplanta la contraseña, sino también la OTP. Un atacante de dedos rápidos, o un retransmisor automatizado en el otro extremo del sitio web, ingresa rápidamente los datos en el portal real del empleado. Con eso, la empresa objetivo es violada.
La mejor forma de 2FA disponible ahora cumple con un estándar de la industria conocido como FIDO (Fast Identity Online). El estándar permite múltiples formas de 2FA que requieren una pieza física de hardware, generalmente un teléfono, para estar cerca del dispositivo que inicia sesión en la cuenta. Dado que los phishers que inician sesión en la cuenta del empleado están a millas o continentes del dispositivo de autenticación, la 2FA falla.
FIDO 2FA puede fortalecerse aún más si, además de demostrar la posesión del dispositivo inscrito, el usuario también debe proporcionar un escaneo facial o una huella digital al dispositivo de autenticación. Esta medida permite 3FA (una contraseña, posesión de una clave física y una huella digital o escaneo facial). Dado que los datos biométricos nunca abandonan el dispositivo de autenticación (dado que se basa en la huella dactilar o en el lector de rostros del teléfono), no existe riesgo de privacidad para el empleado.
El año pasado, el mundo obtuvo un caso de estudio del mundo real en el contraste entre 2FA con OTP y FIDO. Los phishers de credenciales utilizaron un impostor convincente del portal de empleados para la plataforma de comunicación Twilio y un relé en tiempo real para garantizar que las credenciales se ingresaron en el sitio real de Twilio antes de que expirara la OTP (por lo general, las OTP son válidas durante un minuto o menos después de que reeditado). Después de engañar a uno o más empleados para que ingresaran sus credenciales, los atacantes ingresaron y procedieron a robar datos confidenciales de los usuarios.
Casi al mismo tiempo, la red de entrega de contenido Cloudflare se vio afectada por la misma campaña de phishing. Si bien se engañó a tres empleados para que ingresaran sus credenciales en el portal falso de Cloudflare, el ataque fracasó por una sencilla razón: en lugar de depender de las OTP para 2FA, la empresa utilizó FIDO.
Para ser justos con Reddit, no faltan organizaciones que confían en 2FA que son vulnerables al phishing de credenciales. Pero como ya se señaló, Reddit ha recorrido este camino antes. La compañía prometió aprender de su intrusión de 2018, pero claramente aprendió la lección equivocada. La lección correcta es: FIDO 2FA es inmune al phishing de credenciales. Las OTP y las inserciones no lo son.
Los representantes de Reddit no respondieron a un correo electrónico en busca de comentarios para esta publicación.
Las personas que están tratando de decidir qué servicio usar y están siendo cortejadas por equipos de ventas o anuncios de múltiples proveedores competidores harían bien en preguntar si los sistemas 2FA del proveedor cumplen con FIDO. En igualdad de condiciones, el proveedor que usa FIDO para evitar violaciones de la red es sin duda la mejor opción.