Se detecta venta de kits para hackeo de credenciales y elusión de 2FA que pone en peligro las cuentas de los principales bancos en México
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad (CSCT™), (ISC)² Certified in Cybersecurity℠ (CC), EC-Council Ethical Hacking Essentials (EHE) Certified, EC-Council Certified Cybersecurity Technician (CCT), Ethical Hacking Certified Associate (EHCA), Cisco Ethical Hacker y líder del Capítulo Querétaro de la Fundación OWASP.
La unidad de investigación de SILIKN ha detectado en foros clandestinos la comercialización de Evilginx Phishlets, una solución de proxy inverso diseñada para el robo de credenciales y la omisión de la autenticación de dos factores (2FA). Estos kits de phishing avanzados están dirigidos específicamente a los principales bancos de México, incluyendo BBVA, Banorte, Banamex, HSBC México, Scotiabank México, Banco Inbursa, Banco Azteca, BanBajío y Banca Mifel.
El atacante conocido como Blackdatabase ofrece un paquete de instalación, configuración y soporte de Evilginx, con precios que oscilan entre $250 y $400 dólares. Este paquete incluye instalación en vivo, configuración mediante AnyDesk, soporte a través de sesiones en Telegram y asistencia experta en tiempo real. Tras recibir el pago, Blackdatabase envía los scripts de Evilginx Phishlets, junto con las credenciales capturadas y los tokens de sesión, en un plazo de uno a cinco días, a través de Telegram.
Los Evilginx Phishlets actúan como plantillas que configuran Evilginx, un framework utilizado para realizar ataques Man in the Middle (MitM) a servicios web. Estos Phishlets permiten ejecutar ataques de phishing a través de un proxy inverso que opera de la siguiente manera:
- Clonación del sitio: Un Phishlet contiene todos los detalles necesarios para replicar un sitio web legítimo, incluyendo URLs, encabezados HTTP, y elementos de la interfaz de usuario. Este clon se aloja en un servidor controlado por el atacante.
- Redirección del tráfico: Cuando una víctima hace clic en un enlace de phishing, es redirigida al sitio clonado (el servidor proxy de Evilginx) en lugar del sitio legítimo. La URL puede parecer legítima o similar al dominio original, engañando a la víctima.
- Intercepción de credenciales: Cuando la víctima introduce sus credenciales de inicio de sesión en el sitio clonado, Evilginx, a través del Phishlet, las intercepta y las envía al servidor del atacante antes de enviarlas al sitio legítimo. Si la contraseña es incorrecta, el sitio legítimo devolverá un error, que también es mostrado a la víctima a través del proxy, haciendo que el proceso parezca auténtico.
- Captura de tokens de sesión: Si la víctima pasa la autenticación de dos factores (2FA), el Phishlet permite que Evilginx capture la cookie o token de sesión generado por el sitio legítimo. Este token de sesión permite al atacante acceder a la cuenta de la víctima sin necesidad de conocer la contraseña o realizar el 2FA nuevamente.
- Transparencia para la víctima: Después de la autenticación, la víctima es redirigida al sitio legítimo, y la URL en su navegador muestra el dominio real, lo que hace que el ataque sea casi indetectable para un usuario común.
Es crucial protegerse de los ataques que emplean Evilginx Phishlets, adoptando medidas de precaución tanto en el uso cotidiano de internet como en la configuración de sistemas de seguridad avanzados. A continuación, se presentan algunas estrategias esenciales:
- Verificar URLs y certificados SSL: Siempre verifica la URL en la barra de direcciones del navegador para asegurarte de que es el dominio correcto y no una variación engañosa. Además, revisa que el sitio tenga un certificado SSL válido (el candado en la barra de direcciones), aunque esto no garantiza total seguridad, ya que los atacantes también pueden obtener certificados SSL.
- Evitar hacer clic en enlaces desconocidos: Sé cauteloso al hacer clic en enlaces enviados por correo electrónico, mensajes de texto, o redes sociales, especialmente si provienen de fuentes desconocidas o inesperadas. Si necesitas visitar un sitio, escribe la URL directamente en el navegador en lugar de seguir un enlace.
- Usar autenticación basada en hardware: Considera el uso de llaves de seguridad físicas, como YubiKey, para la autenticación de dos factores (2FA). Estas llaves no son vulnerables a ataques de proxy inverso, ya que están diseñadas para verificar directamente el dominio en el que se utilizan.
- Habilitar y configurar correctamente 2FA: Aunque Evilginx puede interceptar tokens de 2FA, es importante habilitar 2FA para todos los servicios que lo soporten. Opta por métodos de 2FA que sean más difíciles de interceptar, como aplicaciones autenticadoras (Authy, Google Authenticator) o claves de hardware.
- Monitorear inicios de sesión y actividades sospechosas: Revisa regularmente los registros de actividad de tus cuentas para detectar inicios de sesión desde ubicaciones o dispositivos inusuales. Configura alertas para inicios de sesión desde nuevos dispositivos.
- Actualizar y fortalecer la configuración de seguridad: Asegúrate de que todos tus dispositivos y navegadores estén actualizados con las últimas versiones de software y parches de seguridad. Usa navegadores que incluyan protección contra phishing, como Google Chrome o Firefox.
- Educación y concientización: Mantente informado sobre las últimas técnicas de phishing y las tácticas que los atacantes utilizan. Saber cómo identificar señales de advertencia puede ser crucial para evitar caer en un ataque.
- Usar extensiones de navegador de seguridad: Considera utilizar extensiones de navegador que detecten y bloqueen sitios web de phishing conocidos, como uBlock Origin o NoScript.
Es vital que actúes de inmediato para protegerte contra los ataques de Evilginx Phishlets. Aplica sin demora las estrategias de seguridad recomendadas y, si sospechas que tu cuenta ha sido comprometida, contacta a tu banco de inmediato para obtener asistencia. Permanece vigilante frente a posibles intentos de phishing y comparte esta información con tus familiares y amigos para que también estén preparados. Actuar con rapidez puede ser decisivo para proteger tu información personal y prevenir futuros ataques.
Para más información, visita: https://www.silikn.com/