in

Los investigadores demuestran un nuevo método para detectar kits de phishing MITM en la naturaleza


Kits de herramientas de phishing MITM

Se han descubierto no menos de 1.220 sitios web de phishing man-in-the-middle (MitM) dirigidos a servicios en línea populares como Instagram, Google, PayPal, Apple, Twitter y LinkedIn con el objetivo de adquirir credenciales de usuario, secuestrar y perseguir más consecuencias en el evento de un ataque.

Los resultados provienen de un nuevo estudio realizado por un grupo de investigadores de la Universidad de Stony Brook y Palo Alto Networks que demostraron una nueva técnica de toma de huellas dactilares que hace posible identificar los kits de phishing MitM en la naturaleza al observar sus propiedades intrínsecas Use el nivel de red. Automatice de forma eficaz la detección y el análisis de sitios web de phishing.

La herramienta llamada «PHOCA», que lleva el nombre de la palabra latina para «sello», no solo facilita la búsqueda de kits de herramientas de phishing MitM previamente desconocidos, sino que también se puede utilizar para detectar y aislar solicitudes maliciosas de dichos servidores.

Copias de seguridad automáticas de GitHub

Los kits de herramientas de phishing tienen como objetivo automatizar y optimizar el trabajo de los atacantes para llevar a cabo campañas de robo de credenciales. Son archivos ZIP empaquetados que vienen con plantillas de phishing de correo electrónico listas para usar y copias estáticas de páginas web de sitios web legítimos que permiten a los actores de amenazas hacerse pasar por ellos mismos para engañar a las víctimas desprevenidas para que divulguen información privada.

Pero la creciente adopción de la autenticación de dos factores (2FA) por parte de los servicios en línea en los últimos años ha significado que estos conjuntos de herramientas de phishing tradicionales ya no pueden ser un método efectivo para ingresar a las cuentas que están protegidas por la capa adicional de seguridad. Ingrese a los kits de herramientas de phishing de MitM, que van un paso más allá al eliminar por completo la necesidad de mantener sitios web «realistas».

Kits de herramientas de phishing MITM

Un kit de phishing MitM permite a los estafadores sentarse entre una víctima y un servicio en línea. En lugar de configurar un sitio web falso que se distribuye a través de correos electrónicos no deseados, los atacantes implementaron un sitio web engañoso que refleja el contenido en vivo del sitio web objetivo y actúa como un pasaje para enrutar las solicitudes y respuestas entre las dos partes en tiempo real, de ahí la extracción. de credenciales y cookies de sesión de cuentas autenticadas 2FA.

«Actúan como servidores proxy inversos, mediando la comunicación entre los usuarios víctimas y los servidores web de destino mientras recopilan información confidencial de los datos de red en tránsito», dijeron los investigadores de la Universidad de Stony Brook Brian Kondracki, Babak Amin Azad, Oleksii Starov y Nick Nikiforakis en un documento adjunto.

El método desarrollado por los investigadores incluye un clasificador de aprendizaje automático que utiliza características a nivel de red como huellas dactilares TLS y discrepancias de tiempo de red para clasificar los sitios web de phishing alojados por los kits de herramientas de phishing de MitM en servidores proxy inversos. También incluye un marco de recopilación de datos que monitorea y rastrea URL sospechosas de bases de datos de phishing de código abierto como OpenPhish y PhishTank, entre otras.

Prevenir filtraciones de datos

La idea central es medir los retrasos en el tiempo de ida y vuelta (RTT) causados ​​por la colocación de un kit de phishing MitM, que a su vez aumenta el tiempo que tarda el navegador de la víctima en enviar una solicitud para obtener una respuesta del objetivo. Servidor debido a que el proxy inverso media las sesiones de comunicación.

«Dado que se deben mantener dos sesiones HTTPS diferentes para mediar la comunicación entre el usuario víctima y el servidor web de destino, la relación entre diferentes RTT de paquetes, como los servidores proxy, es más que directa con un servidor web de origen», explicaron los investigadores. «Esta proporción aumenta aún más cuando el servidor proxy inverso intercepta las solicitudes TLS, que es el caso de los kits de herramientas de phishing de MitM».

Kits de herramientas de phishing MITM

En una evaluación experimental que duró 365 días entre el 25 de marzo de 2020 y el 25 de marzo de 2021, el estudio descubrió un total de 1,220 sitios web operados con kits de phishing MitM, que estaban principalmente dispersos en los EE. UU. Y Europa y dependían de los servicios de alojamiento de Amazon. DigitalOcean, Microsoft y Google. Algunas de las marcas que más se han visto afectadas por estos kits son Instagram, Google, Facebook, Microsoft Outlook, PayPal, Apple, Twitter, Coinbase, Yahoo y LinkedIn.

«PHOCA se puede integrar directamente en las infraestructuras web actuales, como los servicios de listas de bloqueo de phishing para ampliar su cobertura a través de los kits de herramientas de phishing de MitM, así como sitios web populares para detectar solicitudes maliciosas que se originan en los kits de herramientas de phishing de MitM», los investigadores dijeron que los kits de herramientas de phishing de MitM pueden «mejorar la capacidad de los proveedores de servicios web para localizar solicitudes de inicio de sesión maliciosas y marcarlas antes de que se complete la autenticación «.



What do you think?

Written by Helen Lafayette

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

El preocupante auge de los corredores de acceso a Internet

Las tendencias del ciberdelito informan suplantación de identidad, fraude por falta de pago y extorsión