Los investigadores demuestran un nuevo método para detectar kits de phishing MITM en la naturaleza
Se han descubierto no menos de 1.220 sitios web de phishing man-in-the-middle (MitM) dirigidos a servicios en línea populares como Instagram, Google, PayPal, Apple, Twitter y LinkedIn con el objetivo de adquirir credenciales de usuario, secuestrar y perseguir más consecuencias en el evento de un ataque.
Los resultados provienen de un nuevo estudio realizado por un grupo de investigadores de la Universidad de Stony Brook y Palo Alto Networks que demostraron una nueva técnica de toma de huellas dactilares que hace posible identificar los kits de phishing MitM en la naturaleza al observar sus propiedades intrínsecas Use el nivel de red. Automatice de forma eficaz la detección y el análisis de sitios web de phishing.
La herramienta llamada «PHOCA», que lleva el nombre de la palabra latina para «sello», no solo facilita la búsqueda de kits de herramientas de phishing MitM previamente desconocidos, sino que también se puede utilizar para detectar y aislar solicitudes maliciosas de dichos servidores.
Los kits de herramientas de phishing tienen como objetivo automatizar y optimizar el trabajo de los atacantes para llevar a cabo campañas de robo de credenciales. Son archivos ZIP empaquetados que vienen con plantillas de phishing de correo electrónico listas para usar y copias estáticas de páginas web de sitios web legítimos que permiten a los actores de amenazas hacerse pasar por ellos mismos para engañar a las víctimas desprevenidas para que divulguen información privada.
Pero la creciente adopción de la autenticación de dos factores (2FA) por parte de los servicios en línea en los últimos años ha significado que estos conjuntos de herramientas de phishing tradicionales ya no pueden ser un método efectivo para ingresar a las cuentas que están protegidas por la capa adicional de seguridad. Ingrese a los kits de herramientas de phishing de MitM, que van un paso más allá al eliminar por completo la necesidad de mantener sitios web «realistas».
Un kit de phishing MitM permite a los estafadores sentarse entre una víctima y un servicio en línea. En lugar de configurar un sitio web falso que se distribuye a través de correos electrónicos no deseados, los atacantes implementaron un sitio web engañoso que refleja el contenido en vivo del sitio web objetivo y actúa como un pasaje para enrutar las solicitudes y respuestas entre las dos partes en tiempo real, de ahí la extracción. de credenciales y cookies de sesión de cuentas autenticadas 2FA.
«Actúan como servidores proxy inversos, mediando la comunicación entre los usuarios víctimas y los servidores web de destino mientras recopilan información confidencial de los datos de red en tránsito», dijeron los investigadores de la Universidad de Stony Brook Brian Kondracki, Babak Amin Azad, Oleksii Starov y Nick Nikiforakis en un documento adjunto.
El método desarrollado por los investigadores incluye un clasificador de aprendizaje automático que utiliza características a nivel de red como huellas dactilares TLS y discrepancias de tiempo de red para clasificar los sitios web de phishing alojados por los kits de herramientas de phishing de MitM en servidores proxy inversos. También incluye un marco de recopilación de datos que monitorea y rastrea URL sospechosas de bases de datos de phishing de código abierto como OpenPhish y PhishTank, entre otras.
La idea central es medir los retrasos en el tiempo de ida y vuelta (RTT) causados por la colocación de un kit de phishing MitM, que a su vez aumenta el tiempo que tarda el navegador de la víctima en enviar una solicitud para obtener una respuesta del objetivo. Servidor debido a que el proxy inverso media las sesiones de comunicación.
«Dado que se deben mantener dos sesiones HTTPS diferentes para mediar la comunicación entre el usuario víctima y el servidor web de destino, la relación entre diferentes RTT de paquetes, como los servidores proxy, es más que directa con un servidor web de origen», explicaron los investigadores. «Esta proporción aumenta aún más cuando el servidor proxy inverso intercepta las solicitudes TLS, que es el caso de los kits de herramientas de phishing de MitM».
En una evaluación experimental que duró 365 días entre el 25 de marzo de 2020 y el 25 de marzo de 2021, el estudio descubrió un total de 1,220 sitios web operados con kits de phishing MitM, que estaban principalmente dispersos en los EE. UU. Y Europa y dependían de los servicios de alojamiento de Amazon. DigitalOcean, Microsoft y Google. Algunas de las marcas que más se han visto afectadas por estos kits son Instagram, Google, Facebook, Microsoft Outlook, PayPal, Apple, Twitter, Coinbase, Yahoo y LinkedIn.
«PHOCA se puede integrar directamente en las infraestructuras web actuales, como los servicios de listas de bloqueo de phishing para ampliar su cobertura a través de los kits de herramientas de phishing de MitM, así como sitios web populares para detectar solicitudes maliciosas que se originan en los kits de herramientas de phishing de MitM», los investigadores dijeron que los kits de herramientas de phishing de MitM pueden «mejorar la capacidad de los proveedores de servicios web para localizar solicitudes de inicio de sesión maliciosas y marcarlas antes de que se complete la autenticación «.
Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.
Estas Cookies son:
Sesión de usuario
Comentarios
Seguridad
Aceptación de Cookies
Si desactivas esta cookie no podremos guardar tus preferencias. Esto significa que cada vez que visites esta web tendrás que activar o desactivar las cookies de nuevo.
