Combinación letal: autenticación multifactor (MFA) y dominios lookalike

Infoblox presenta nuevas capacidades en BloxOne Threat Defense para abordar esta amenaza

La combinación de autenticación multifactor (MFA) y dominios lookalike es una táctica peligrosa. Por ello, en respuesta a los cambios significativos en el panorama de amenazas a principios de este año, Infoblox presentó nuevas e innovadoras capacidades que se centran en la función de monitoreo personalizado de dominios lookalike, disponible en BloxOne Threat Defense. 

Su objetivo es contrarrestar el uso de dominios lookalike por parte de actores de amenazas, incluyendo tácticas más recientes, como la imitación de sistemas de autenticación multifactor (MFA) para robar credenciales.

A continuación, se presenta un resumen de las tendencias clave y la investigación del Grupo de Inteligencia de Amenazas (TIG, por sus siglas en inglés) de Infoblox sobre cómo los dominios lookalike, una técnica constante, aunque en evolución utilizada en correos electrónicos de phishing, se está utilizando en ataques más avanzados en la actualidad, como aquellos que imitan sistemas MFA. 

Amenaza de dominios lookalike: ¿cómo se convierte en un problema para MFA?

Durante el último año, con el constante énfasis de analistas, escritores, oradores y otros expertos de la industria de la seguridad, en el valor de MFA para fortalecer la postura de seguridad, no es sorprendente que la adopción de MFA haya aumentado considerablemente. 

Como resultado, cada vez más personas y organizaciones están implementando MFA para proteger sus cuentas y transacciones. Incluso los mercados de moneda digital, billeteras y plataformas de intercambio, que han experimentado importantes violaciones de seguridad se han sumado a esta tendencia.

Los ciberdelincuentes están utilizando técnicas de adversarios en el medio (AitM) para engañar a los empleados, haciéndoles creer que están interactuando con la auténtica red de su empresa durante el proceso de autenticación. 

Un estudio realizado por el Grupo de Inteligencia de Amenazas de Infoblox encontró más de 1600 dominios utilizados desde principios de 2022 que combinaban características corporativas con elementos lookalike a MFA. 

Estos dominios se dirigen a diversas entidades a nivel mundial, que van desde grandes corporaciones hasta bancos, compañías de software, proveedores de servicios de Internet y entidades gubernamentales.

Uso de dominios lookalike más allá del phishing por correo electrónico

Los dominios lookalike son una herramienta popular utilizada por los ciberdelincuentes para atacar a individuos y empresas. Estos delincuentes utilizan diferentes métodos, como mensajes SMS, llamadas telefónicas, mensajes directos en redes sociales, correos electrónicos y códigos QR, para llevar a cabo estos ataques lookalike.

El smishing se utiliza para distribuir mensajes de phishing, permitiendo a los atacantes eludir algunas medidas de seguridad implementadas contra los ataques de phishing por correo electrónico. Actores como OpenTangle y Scamélie se dirigen a consumidores y empleados gubernamentales mediante el uso de dominios lookalike (más de 1500 dominios solo en el caso de OpenTangle) y tácticas de phishing dirigido.

Los dominios lookalike también se utilizan como servidores de correo y como comando y control de malware (C2), lo que dificulta la detección de correos electrónicos de phishing y malware en los dispositivos finales. Los dominios lookalike se pueden implementar en varias capacidades del sistema de nombres de dominio (DNS), como servidores de nombres, servidores de correo, registros canónicos de nombres (CNAME) y registros de puntero (PTR). También pueden ser utilizados para redireccionamientos, lo que los convierte en un vehículo perfecto para el comando y control de malware.

Los dispositivos móviles pueden ser más vulnerables a los ataques lookalike debido al tamaño reducido de sus pantallas y a la falta de previsualización de los enlaces. Incluso las personas conscientes de la seguridad pueden caer víctimas de una imitación bien diseñada, especialmente cuando se combinan con otras tácticas de ingeniería social, como mensajes SMS o llamadas telefónicas urgentes.

Las organizaciones pueden defenderse de los dominios lookalike implementando soluciones a nivel de DNS. “Aunque actualmente los actores maliciosos tienen la ventaja, la lucha contra los dominios lookalike no está perdida”, comentó Ivan Sánchez, VP Sales de Infoblox. “Es importante mantenerse alerta y automatizar las medidas de seguridad siempre que sea posible para reducir el riesgo de error humano, ya que fácilmente podemos pasar por alto lo que tenemos justo delante de nosotros”.

 Vanessa Olivieri