Ciberdelincuentes explotan el sistema de autenticación de Microsoft 365 para robar cuentas
La estafa que afecta a unas cuentas concretas de Microsoft 365, y que podría poner en peligro incluso la seguridad nacional y de la que ya advierten las empresas de seguridad.
Si tienes alguna cuenta de Microsoft 365 podrías estar en peligro dado que los ciberdelincuentes están utilizando una elaborada estafa, basándose también en ingeniería social, para saber los datos personales y confidenciales.
Según informan desde la empresa de ciberseguridad Volexity, distintos ciberdelincuentes rusos han explotado flujos de trabajo legítimos de autenticación OAuth 2.0 para secuestrar cuentas de Microsoft 365.
En concreto, estos ciberdelincuentes rusos atacan principalmente a estas cuentas de Microsoft 365 de personas vinculadas a Ucrania y los derechos humanos, basándose en tácticas de ingeniería social.
Básicamente los atacantes se hacen pasar por funcionarios europeos o bien usan cuentas del gobierno ucraniano pirateadas para contactar con las víctimas, haciéndose pasar de esta forma por otras personas, y la comunicación suele suceder por aplicaciones conocidas como WhatsApp y Signal.
Los piratas informáticos incitan a sus víctimas a que hagan clic en enlaces maliciosos alojados en la infraestructura de Microsoft o a compartir códigos de autorización OAuth 2.0.
Estos códigos que cuentan con una validez de 60 días, otorgan acceso al correo electrónico y otros recursos de Microsoft 365.
“Cabe destacar que este código también aparecía como parte del URI en la barra de direcciones. Visual Studio Code parece haber sido configurado para facilitar la extracción y el intercambio de este código, mientras que la mayoría de las demás instancias simplemente generarían páginas en blanco”, dicen los investigadores.
También los piratas registran nuevos dispositivos con el ID de Microsoft evadiendo así la autenticación de dos factores e incluso engañando a los usuarios para que aprueben solicitudes falsas.
Se trata de una estafa muy difícil de sospechar dado que los piratas informáticos hacen uso de la propia infraestructura de Microsoft.
Los atacantes, por otra parte, utilizan redes proxy para simular la ubicación de la víctima asegurándose de esta forma de que no se sospeche.
Si se hacen con estos códigos OAuth 2.0 robados, los piratas pueden leer correos electrónicos confidenciales, acceder a archivos privados y hasta mantener accesos no autorizados.