6 de abril de 2015

Del phishing al acceso persistente

Hace aproximadamente un año, se reveló un nuevo método de ataque conocido como “Covert redirection” (Ver: Keep calm y mantente alerto: OpenID y OAuth son vulnerables ) el cual permite abusar de los servicios de autenticación y autorización centralizada y abierta de los protocolos OpenID/OAuth, soportada por algunos de los principales proveedores de servicios de internet como Google, Outlook y LinkedIn.

Hace aproximadamente un año, se reveló un nuevo método de ataque conocido como “Covert redirection” (Ver: Keep calm y mantente alerto: OpenID y OAuth son vulnerables ) el cual permite abusar de los servicios de autenticación y autorización centralizada y abierta de los protocolos OpenID/OAuth, soportada por algunos de los principales proveedores de servicios de internet como Google, Outlook y LinkedIn. En este caso el atacante obtiene mediante engaños la autorización del propio usuario para acceder a su información mediante el uso de un token de autenticación único. Esto debido a la falta de implementación de un esquema de listas blancas en el protocolo de autenticación OAuth 2.0.

Recientemente se descubrió una campaña de Phishing dirigida a usuarios de Latinoamérica que utiliza este método y usa como anzuelo una suscripción gratuita para el servicio de streaming de video conocido como Netflix. El gancho es el ofrecimiento de 3 meses de suscripción gratis y la forma de obtenerlos es completando el registro siguiendo un link proporcionado dentro de un correo apócrifo, claro que el objetivo real detrás de esto es obtener el acceso a información de la cuenta de Outlook o Hotmail de la víctima.

 

NFPC_01.preview

 

Este tipo de ataque es muy peculiar ya que no implica robar nombres de usuario o contraseñas y tampoco es un ataque criptográfico. La amenaza en este caso se conoce como un ataque de tipo Open Redirect.

La idea básica es que un atacante utiliza una aplicación que implementa una API OAuth para supuestamente darle acceso a un programa o servicio a la víctima a través de un token generado por una cuenta que el usuario haya configurado previamente, este mismo token servirá  para acceder a información de la víctima, como son los detalles de su perfil, información de sus contactos y correo electrónico aun cuando el usuario no esté firmado en su cuenta.

Las aplicaciones que soportan OAuth no necesitan conocer directamente el nombre de usuario o contraseña de la persona que desea conectar una aplicación o acceder a un servicio, sino siguen un proceso que consiste básicamente en tres pasos:

1. Por ejemplo, en este caso particular, la victima dará click en el enlace proporcionado en el correo electrónico para obtener los 3 meses de suscripción gratuita, al cargar la página web del enlace, el usuario es re direccionado al sitio del proveedor de la cuenta que se quiere utilizar para autenticarse, en este caso “Outlook” o “Hotmail”. El problema es que el usuario es dirigido al sitio auténtico del proveedor y no a un sitio falso, como suele suceder en los ataques de phishing.

NFPC_02.preview

2. El usuario entonces introduce sus credenciales para firmarse como se indica en el correo y entonces aparecerá una pantalla con el resumen de los accesos a los cuales la supuesta aplicación tendrá acceso con el fin de que el usuario de su autorización.

NFPC_03

3. Después de que se da la aprobación por parte del usuario, se envía la información con los privilegios otorgados, junto con el token de la sesión del usuario hacia la dirección URI del sitio malicioso que permitirá el acceso a la información de la víctima desde la aplicación maliciosa en cualquier momento.

NFPC_04.preview-682x20

Los permisos de acceso otorgados se definen mediante los parámetros:

  • wl.signin - Inicio de sesión único. Los usuarios que ya están firmados en su cuenta de Outlook o Hotmail están también firmados en la supuesta aplicación.
  • wl.basic – Acceso de lectura a información básica del perfil del usuario.
  • wl.emails – Acceso de lectura a las direcciones de correo personales, preferidas y de negocios.
  • wl.contacts_emails – Acceso de lectura a las direcciones de correo de los contactos.

El envío de información al sitio malicioso se hace con el parámetro: redirect_uri=http//

Si por alguna razón se presenta algún error al momento de generar la autorización, aparecerá el siguiente mensaje al usuario.

NFPC_05.preview-786x85

Uno de los aspectos clave para que este engaño sea exitoso es el hecho de que algunos usuarios pueden estar familiarizados con este proceso y considerarlo normal si ya han utilizado antes los servicios de autenticación/autorización mediante cuentas de terceros.

El impacto podría ser mayor si en los permisos solicitados se incluyera acceso a los servicios de almacenamiento en la nube porque si esto fuera así, despídase de su privacidad ya que le podría dar acceso a los atacantes también a sus fotografías y documentos personales.

Es importante mencionar que en este momento, la herramienta anti-phishing incluida en las diferentes versiones de productos de Kaspersky detectó y protege a sus usuarios de ser víctimas de esta campaña.

Como Protegerse.

  • Como en cualquier caso de phishing, ante la más mínima duda es muy importante pensar 2 veces antes de dar click a un enlace que provenga de un correo o red social y cuyo contenido sea “demasiado bueno para ser cierto”.
  • También es muy importante ser cuidadosos con sitios web o aplicaciones que ofrezcan autenticación/autorización mediante cuentas de terceros utilizando el protocolo OAuth a menos que se esté plenamente seguro de que se trata de una fuente confiable.
  • Revise periódicamente los accesos de aplicaciones de terceros a sus cuentas y elimine aquellos que ya no se utilicen.
  • Instale herramientas que protejan su navegación en internet.

En este como en muchos casos, una de las mejores defensas preventivas es el sentido común.

Para mantenerte actualizado con información sobre nuevas amenazas, puedes seguirme en twitter: @r0bertmart1nez

 

Articles related to Blog de Kaspersky

  • Malicioso

    La batalla contra el cibercrimen requiere de una combinación de conocimiento, entusiasmo, y cooperación. En Kaspersky Lab, contamos con expertos que disfrutan de investigar nuevos vectores de ataque y de implementar métodos de protección innovadores para nuestros usuarios.

    LEER MÁS >
  • DIAN de Colombia como gancho de los cibercriminales colombianos

    Los criminales cibernéticos colombianos lanzan un nuevo ataque abusando del nombre de DIAN. Pues el 2 de marzo han enviado correos masivos con un supuesto “certificado y calificación tributaria” que realmente es un programa de código malicioso

    LEER MÁS >
  • Del phishing al acceso persistente

    Hace aproximadamente un año, se reveló un nuevo método de ataque conocido como “Covert redirection” (Ver: Keep calm y mantente alerto: OpenID y OAuth son vulnerables ) el cual permite abusar de los servicios de autenticación y autorización centralizada y abierta de los protocolos OpenID/OAuth, soportada por algunos de los principales proveedores de servicios de internet como Google, Outlook y LinkedIn.

    LEER MÁS >