Um grupo de investigadores de segurança identificou 1.220 ferramentas ativas em sites de phishing, desenhados para ajudar os atacantes a contornarem mecanismos de dupla autenticação, cada vez mais usados para reforçar a segurança no acesso aos mais diversos serviços online.

O número representa um crescimento significativo face ao volume identificado de toolkits deste género em anos anteriores e a expectativa dos investigadores é que continue a aumentar e que a técnica usada nestes pacotes de ferramentas se generalize ou torne mesmo dominante.

Uma pesquisa de outro investigador de segurança, Yonathan Klijnsma, identificava cerca de 200 sites a usarem o mesmo tipo de toolkits entre o final de 2018 e o início de 2019, o que revela o crescimento acelerado destas técnicas nos últimos dois anos.

Os investigadores acreditam que o sucesso explica-se também pelo facto destas ferramentas serem na sua maioria gratuitas, fáceis de usar e haver tanta informação sobre elas na internet, como tutoriais ou mesmo pessoas disponíveis para ajudar principiantes em muitos fóruns online.

Como operam os esquemas de phishing que usam toolkits MitM?

Em causa estão toolkits de phishing MitM (Man-in-the-Middle), uma evolução das técnicas usadas neste tipo de ataques, para acompanhar o reforço da segurança conseguido com os mecanismos de dupla autenticação. A autenticação de dois fatores tornou inútil ter apenas acesso a uma password para entrar em muitas contas ou validar operações e os atacantes adaptaram-se, como confirma o estudo da Stony Brook University e da Palo Alto Networks, citado pela The Record.

Europol: Ransomware mudou, procura grandes organizações e apoia-se cada vez mais em “redes de parceiros”
Europol: Ransomware mudou, procura grandes organizações e apoia-se cada vez mais em “redes de parceiros”
Ver artigo

Passaram a apostar em ferramentas alternativas, mais eficazes e uma das vias passa por roubar os ficheiros que são automaticamente criados no browser quando um utilizador completa o processo de autenticação de dois fatores num qualquer serviço.

No acesso a serviços bancários, por exemplo, os cookies de autenticação do utilizador são renovados a cada acesso, ou em poucos minutos, fazendo da técnica menos eficaz. Já em serviços de email, no acesso a redes sociais ou outros serviços online, os cookies de autenticação gerados para um login podem ser os mesmos durante anos, alertam os especialistas.

Os kits MitM funcionam como proxies reversos, para estabelecer um circuito entre o equipamento do utilizador, o site de phishing e o serviço legítimo. O início e o fim do processo de autenticação permanecem como deviam, entre partes legítimas, mas pelo meio a informação passa por quem faz o ataque que pode depois usá-la ou mesmo vendê-la.

Para o estudo foram analisadas 13 versões de kits MitM e criadas impressões digitais para o tráfego Web que passe por uma destas ferramentas. Foi criada ainda uma ferramenta para identificar se um site de phishing usa proxies reversos e submetidos a ela todos os sites reportados como sites de phishing por investigadores de segurança, entre março de 2020 e o mesmo mês de 2021.

Foi depois de correr esta ferramenta que os investigadores chegaram à conclusão que 1.220 destes sites estavam a usar toolkits MitM, considerando que é quase certo que a sua utilização continue a aumentar, à medida que a autenticação de dois fatores se generalize.

Não perca as principais novidades do mundo da tecnologia!

Subscreva a newsletter do SAPO Tek.

As novidades de todos os gadgets, jogos e aplicações!

Ative as notificações do SAPO Tek.

Newton, se pudesse, seguiria.

Siga o SAPO Tek nas redes sociais. Use a #SAPOtek nas suas publicações.