Varios administradores de contraseñas prominentes han sido falsificados en nuevas campañas de phishing, como Bitwarden entre los afectados, advirtieron los expertos.
Una falsificación muy convincente del sitio web real de Bitwarden, con la URL ‘bitwardenlogin.com’, apareció como un resultado de búsqueda de Google Ads, empujándolo hacia la parte superior cuando los usuarios buscaron con la frase ‘administrador de contraseñas de bitwarden’.
El dominio en el anuncio era ‘appbitwarden.com’, que ahora afortunadamente parece haber desaparecido de los resultados de Google y el sitio aparentemente se cerró.
Suplantación de identidad de anuncios de Google
Los usuarios informaron haber encontrado el anuncio de phishing a principios de esta semana en Reddit (se abre en una pestaña nueva) y los foros oficiales de Bitwarden (se abre en una pestaña nueva)expresando su preocupación por la similitud entre la página y la URL falsas y la real.
Un usuario incluso notó que un certificado de capa de sockets seguros (SSL) estaba presente en el sitio web falso, lo que permite una conexión encriptada y generalmente se toma como un signo de un sitio web seguro y legítimo.
computadora pitido (se abre en una pestaña nueva) intentó probar la página falsa ingresando credenciales de cuenta de Bitwarden falsas para ver qué sucedería y descubrió que «la página de phishing aceptará credenciales y, una vez enviadas, redirigirá a los usuarios a la página de inicio de sesión legítima de Bitwarden».
Sin embargo, el sitio de phishing se cerró antes de que no pudiera confirmar lo que habría sucedido con las credenciales reales, específicamente si «intentaría robar cookies de sesión respaldadas por MFA (tokens de autenticación) como muchas páginas de phishing avanzadas».
Se refiere a los ataques de phishing adversary-in-the-middle (AiTM), que utiliza proxies para entregar el aviso de MFA al sitio web real, que lo envía de vuelta al sitio de phishing, que luego lo envía al usuario. Luego, el proceso se repite nuevamente para la entrada real del código MFA, sin que ninguna de las partes se dé cuenta de que el proceso de autenticación está siendo interceptado por un mal actor.
El sitio real luego almacena una cookie de la sesión que contiene la información de autenticación para esa sesión. Esta cookie es robada por el actor de amenazas para que pueda engañar a la víctima nuevamente sin necesidad de pasar por otra solicitud de MFA.
También se descubrió que otros administradores de contraseñas quedaron atrapados en campañas de phishing de Google Ads recientemente. investigador de seguridad MalwareHunterEquipo (se abre en una pestaña nueva) encontró la misma táctica utilizada para falsificar 1Password, otra opción de administrador muy popular.
Google Ads ha sido secuestrado para varios fines maliciosos además de las estafas de phishing. Historias recientes han descubierto que se utiliza como plataforma de lanzamiento para robar credenciales y violar redes comerciales mediante el robo de identidad.
La noticia sigue a una serie reciente de ataques a administradores de contraseñas, más notablemente a LastPass, uno de los administradores de contraseñas más grandes, donde se robaron las bóvedas de los usuarios y tampoco se garantizó que las claves utilizadas para cifrarlas fueran seguras, lo que significa que los piratas informáticos podrían ver todo. sus contraseñas.
Los usuarios de Norton LifeLock también vieron comprometidas sus bóvedas de contraseñas en un ataque de Credential Stuffing, y Passwordstate también sufrió una brecha de seguridad.
La mejor manera de proteger sus bóvedas de contraseñas, además de tener cuidado con los sitios web de phishing, es tener MFA configurado y usar una contraseña segura. Dado que esta contraseña deberá guardarse en la memoria, ya que no se puede almacenar en la bóveda en sí, es mejor usar una cadena aleatoria de palabras que pueda recordar fácilmente y, sin embargo, será demasiado larga y carecerá de significado para ser fácil. descifrado por piratas informáticos.