Microsoft ha descubierto una campaña de phishing a gran escala que utilizaba sitios de phishing del tipo "adversario en el medio" (AiTM o adversary-in-the-middle en inglés, un tipo de phishing muy poco conocido hasta ahora). Gracias a esta estrategia, la empresa de Redmond vio que estos atacantes robaban contraseñas, secuestraban la información de inicio de sesión de un usuario y se saltaban el proceso de autenticación incluso si el usuario había activado la autenticación multifactor (MFA).

Después de este primer paso, los atacantes utilizaban las credenciales robadas y las cookies de la sesión para acceder a los correos electrónicos de los usuarios afectados y llevar a cabo campañas de BEC O Business Email Compromise, por sus siglas en inglés (es decir, comprometer el correo electrónico comercial contra otros objetivos). Lo que se conoce hasta ahora es que la campaña de phishing AiTM intentó atacar a más de 10.000 organizaciones desde septiembre de 2021.

Microsoft ve que aunque la autenticacicón multifactor llegó al mercado como una solución a los problemas de seguridad, ya que ofrece una capa de seguridad adicional contra el robo de credenciales, "los atacantes también están encontrando nuevas formas de eludir esta medida de seguridad".

Cómo se realiza un phishing AiTM

En el phishing AiTM, los atacantes despliegan un servidor proxy entre un usuario objetivo y el sitio web que el usuario desea visitar (es decir, el sitio que el …