Alertan por una nueva herramienta de hackeo que es capaz de robar fácilmente el acceso a cuentas de redes sociales y correos. El sistema puede incluso saltear el segundo factor de autenticación empleado como capa adicional de seguridad para acceder a cuentas de Gmail, Instagram, Twitter u otras plataformas.
“EvilProxy, también conocido como Moloch, es una plataforma de phishing que se anuncia en la dark web. Proporciona una interfaz de usuario fácil de usar, en la cual los usuarios de la herramienta pueden configurar y administrar campañas de phishing y toda la información que las acompaña. Esta modalidad pone a este tipo de ataques a disposición de todos los delincuentes, incluso de aquellos que no tengan las habilidades o conocimientos necesarios para atacar a estos servicios”, alertan desde la consultora de ciberseguridad BTR Consulting.
Con este “kit de hackeo” también se ofrece robar nombres de usuario, contraseñas y cookies de sesión, por un costo de 150 dólares por diez días; 250 dólares por 20 días o 400 dólares por una campaña de un mes. A su vez los ataques contra Google cuestan un poco más: 250, 450 y 600 dólares respectivamente, detallan desde la consultora.
Aquí entra en juego lo que se conoce como proxies inversos, que son servidores que se encuentran entre la víctima y el punto final de autenticación legítimo, como es el formulario de inicio de sesión de la cuenta. Cuando la víctima se conecta a una página de phishing, el proxy inverso muestra el formulario de inicio de sesión legítimo, reenvía las solicitudes y devuelve las respuestas del sitio web de la empresa o red social.
Cuando el usuario ingresa sus credenciales y segundo factor de autenticación en la página de phishing. Estos datos se reenvían al servidor de la plataforma real, en la cual el usuario inicia sesión y se devuelve una cookie de sesión.
Sin embargo, como el proxy del ciberatacante se encuentra en el medio, también puede robar la cookie de sesión que contiene el token de autenticación. Los delincuentes pueden usar esta cookie de autenticación para iniciar sesión en el sitio como usuario.
“La página de phishing contiene un proxy controlado por el atacante, lo que le permite funcionar como un ataque de Man in the Middle (hombre en el medio), es decir, el atacante intercepta la comunicación que el usuario ingresa en el sitio proxy y el sitio proxy la envía al servidor legítimo y luego transmite la respuesta del servidor legítimo al usuario - todo en tiempo real - permitiéndole al atacante captar los datos del usuario”, explica Fabio Assolini, director del Equipo de Investigación y Análisis para América Latina en Kaspersky.
El experto destaca que tanto Brasil como otros varios países latinoamericanos siempre se encuentran entre los 10 más afectados por phishing a nivel mundial. A su vez, subraya que las plataformas como EvilProxy permiten automatizar los ataques y así contribuir a que crezca la incidencia de este tipo de delitos.
“Los kits de phishing a la venta son una realidad, lo mismo que hemos visto en otras áreas como con el ransomware, donde hay grupos que crean una plataforma a cambio de un porcentaje de los rescates obtenidos”, destaca Luis Corrons, especialista de Seguridad de Avast.
Desde BTR Consulting remarcan que los ciberdelincuentes ofrecen un servicio completo hasta con instrucciones paso a paso para realizar los ataques. “Tras la compra, los clientes reciben videos de instrucción y tutoriales detallados sobre cómo utilizar la herramienta, que cuenta con una interfaz gráfica clara y abierta en la que los usuarios pueden configurar y gestionar sus campañas de phishing. Incluso se ofrece una biblioteca de páginas de phishing clonadas para servicios de internet populares”, subrayan desde la consultora.
Qué medidas de precaución tomar para evitar el robo de la cuenta de Instagram
“Los usuarios deben tener cuidado con los enlaces sospechosos enviados por correo electrónico, mensajes de redes sociales o SMS y evitar hacer clic en ellos”, recomienda Corrons.
A su vez, todos los especialistas consultados coinciden en sugerir que los usuarios elijan una solución de seguridad fiable que ofrezca protección contra los ataques de phishing.