EvilTokens: el nuevo fraude que usa páginas reales de Microsoft para colarse en cuentas corporativas
Un peligro muy real
Las campañas de phishing no paran de evolucionar. Los ciberdelincuentes trabajan a pleno rendimiento para encontrar fisuras en los sistemas para poder estafarnos. Y mucho nos tememos que, tal y como han reportado desde ESET, sus engaños son cada vez más sofisticados.
La conocida firma de ciberseguridad acaba de dar la voz de alarma ante la llegada de EvilTokens, un kit de phishing como servicio, conocido como PhaaS que se vende a cualquier cliente interesado.
Y lo peor de todo, es capaz de superar los mejores sistemas de seguridad. al punto de que una página oficial y la autenticación multifactor ya no siempre son suficientes para estar completamente protegidos frente a las amenazas más avanzadas.
Un ataque que no necesita una página falsa para engañarte
De esta manera, ESET ha alertado sobre esta técnica, que afecta especialmente a entornos de Microsoft 365 y que se basa en el abuso de un mecanismo legítimo de autenticación. Para ello, EvilTokens utiliza un sistema de phishing mediante códigos de dispositivo.
Así que el problema es que los atacantes han encontrado la forma de convertir ese proceso legítimo de autenticación en dos pasos en una puerta de entrada a cuentas corporativas. El gran peligro de EvilTokens está en que la víctima no entra en una web sospechosa ni escribe sus credenciales en una copia falsa de Microsoft. Al contrario, el proceso se desarrolla en una página legítima de Microsoft, lo que hace que el engaño sea mucho más difícil de detectar.
El ataque comienza cuando los ciberdelincuentes generan un código de dispositivo válido. Después, lo incorporan en correos electrónicos o mensajes que simulan situaciones habituales dentro de una empresa. Puede tratarse de un documento compartido, una invitación de calendario o cualquier otro aviso que encaje con el día a día de un trabajador.
La víctima, al recibir ese mensaje, es dirigida a una página real de Microsoft donde introduce el código y completa el proceso de autenticación. Hasta ahí, todo parece normal. La página es legítima, el entorno resulta familiar y la autenticación puede incluso incluir verificación multifactor.
Pero, en realidad, lo que está haciendo la víctima es autorizar una sesión que había sido iniciada previamente por el atacante. Una vez completado el proceso, los ciberdelincuentes obtienen los permisos necesarios para acceder a recursos corporativos vinculados a Microsoft 365. Y esto incluye el correo electrónico, OneDrive, Teams, SharePoint y otros servicios utilizados a diario en muchas empresas. Sin duda, un gran peligro para cualquier empresa.
Cómo reducir el riesgo frente a este tipo de phishing
Como han explicado desde ESET, hablamos de una situación bastante complicada, ya uqe los ciberdelincuentes han encontrado una nueva forma de engañarnos. Aunque, con estos consejos, estarás protegido.
Y es tan simple como que nunca introduzcas un código de autenticación si no has iniciado tú mismo el proceso. Si recibes un mensaje inesperado pidiéndote que escribas un código, aunque te lleve a una página legítima de Microsoft, lo mejor es desconfiar y consultar con el departamento de TI o con la persona responsable de seguridad.