La introducción del múltiple factor de autenticación (MFA) ha supuesto un antes y un después en cuanto a la protección de nuestras cuentas frente a ataques como los de password spray o password stuffing. Por ese mismo motivo de ser una nueva barrera a superar, los ciberdelincuentes han pasado a desarrollar una serie de ataques contra el MFA, hoy vamos a ver el MFA Push Spray.
El múltiple factor de autenticación se basa en que para loguearnos en una aplicación o sistema no solo debemos usar una credencial clásica usuario/contraseña sino que además de eso necesitamos completar al menos otro paso adicional verificando nuestra identidad a través de algo que tenemos, puede ser nuestro teléfono al recibir un sms, llamada o código de seguridad en una app. Puede ser una llave física en nuestro dispositivo, etc...
Obviamente para los ciberdelincuentes esto ha supuesto un problema y se han lanzado a inventar metodologías de ataques para principalmente engañar al usuario que básicamente acaba siendo lo más sencillo de conseguir en muchos casos.
MFA Push Spray Attacks
El más común de estos ataques es el conocido como MFA Push Attack, alternativamente conocido como MFA fatigue attack, en este, un ciberdelincuente ha conseguido previamente nuestras credenciales de alguna manera y se dedica a enviar peticiones al dispositivo de la víctima con la intención de engañarla y que acepte alguna de ellas. En el momento que eso ocurra el atacante habrá completado un login tal y como si fuera la víctima.
Ciertamente la gran mayoría de esos intentos serán ignorados, pero sin duda una parte significativa de los mismos serán aceptados sin mayor problema por usuarios que en muchos casos están tan acostumbrados ya a estas peticiones y a su frecuencia que las aceptan de manera mecánica.
Estrategias de ataques
Cómo en cualquier otro ataque, en este los ciberdelincuentes han ido mejorando y afinando ciertos aspectos del mismo para aumentar su ROI, si, su retorno de inversión, ya que siempre debemos entender los grupos de cibercriminales como estructuras profesionalizadas, no como chavales solitarios jugando a ser “hacker”.
En este sentido este tipo de ataques se lanzan en pequeñas tandas, un usuario que reciba una o dos peticiones puede picar, un usuario que reciba 50 pasará a estar alerta.
También se acostumbran a centrarse en tramos horarios determinados en los que la potencial víctima vea más coherente recibir estás notificaciones, por ejemplo de 8 a 9 de la mañana al iniciar la jornada laboral.
Cómo protegernos
En el caso de este ataque lo más obvio es ser conscientes de cuando nosotros mismos hemos podido iniciar una petición de ese tipo e ignorar y reportar cualquier otra sospechosa. Por lo que la educación del personal y las simulaciones son como siempre clave.
Es importante una implementación robusta y consistente de MFA que tenga una cobertura y unas acciones claras en cuanto a en qué sistemas, dispositivos, redes o momentos puede que se lance una verificación adicional de MFA al usuario. De esta manera reduciremos está incertidumbre que puede llevar a pensar que una petición a deshora sea legítima.
El uso de elementos físicos para el MFA como el de llaves físicas o tarjetas de identidad en nuestro dispositivo.
Configurar alertas en nuestro sistema respecto a cualquier login no afectado por MFA.
Por otra parte existen muchos controles de herramientas de seguridad que nos ayudarán a proteger nuestras cuentas aún y cuando el usuario haya caído en la trampa. Por ejemplo Defender en Office 365 puede alertar o bloquear nuestra cuenta antes eventos como logins desde IPs sospechosas, eventos de viaje imposibles (logins desde dos países en un lapso corto de tiempo), actividad anormal de login, etc..
Conclusiones
Hemos de tener en cuenta que esté ataque en muchas ocasiones no viene solo sino que se acompaña con técnicas de ingeniería social o spear phishing, haciéndolo, si está bien diseñado y acompasado realmente difícil de identificar para el usuario final en muchos casos, haciendo que no sea tan obvio y “simple” como puede parecer en principio.
Herramientas de MFA Push ya se encuentran incluidas en diversos kits de phishing-as-a-service por lo que a medida que se estandariza el uso de MFA, no podemos sino esperar una generalización de este tipo de ataques. Estás incluyen herramientas como MFASweep dedicada a localizar excepciones de MFA en nuestra red y sistemas.
Espero que os sea de utilidad.