El phishing convencional implica que los atacantes creen sus propias páginas de phishing que replican páginas de inicio de sesión legítimas para engañar a sus víctimas y conseguir que proporcionen sus credenciales de inicio de sesión.
El reverse phishing (a través de proxy inverso) es una versión más sofisticada de phishing basada en un tipo de ataque AitM. En lugar de crear un sitio web falso, el atacante configura un proxy que se interpone entre el sitio web legítimo y la víctima. Este proxy captura las credenciales del usuario y, en tiempo real, las reenvía al sitio real, lo que hace que la víctima piense que todo es normal.
Los ataques AitM son muy eficaces, ya que permiten a un atacante posicionarse entre la víctima y el objetivo, que puede ser un servicio legítimo como la página de inicio de sesión de Microsoft. Desde esta posición, los atacantes pueden capturar el tráfico de la red, recuperando el correo electrónico, la contraseña, las cookies y los tokens de sesión. Al poseer los tokens, podemos eludir la autenticación multifactor (MFA). Esto resalta la importancia de detectar y mitigar este tipo de ataques.
¿Cómo funciona con un Reverse Proxy?
Lo primero que hará un atacante será crear un DNS muy similar al sitio web al que apunta con la intención de confundir a los usuarios y hacerles creer que se están conectando al sitio web real que esperan.
Lo siguiente será implementar un proxy inverso en una plataforma de alojamiento utilizando el DNS proporcionado. Si bien los atacantes suelen utilizar implementaciones preparadas previamente para este tipo de ataques, informes recientes han demostrado que proveedores de SaaS conocidos como Cloudflare también han sido el objetivo de este tipo de ataques. Este método, llamado phishing transparente, se basa en el que el atacante utiliza Cloudflare Workers para actuar como un servidor proxy inverso para una página de inicio de sesión legítima, interceptando el tráfico entre la víctima y la página de inicio de sesión para capturar credenciales, cookies y tokens.
Suponiendo que el atacante tiene como objetivo Outlook en Microsoft 365 y ha creado un DNS muy similar al que utiliza Outlook, el último paso es comenzar a atraer a las víctimas hacia la trampa.
Cuando una desafortunada víctima cae en la trampa, verá contenido legítimo proveniente de Outlook, ya que el proxy inverso se está conectando al sitio real. Sin embargo, no sabrá que todo su tráfico está siendo interceptado. Esto incluye todos los envíos y respuestas de formularios que provienen de Outlook. Por ejemplo, el atacante puede obtener acceso a las credenciales de usuario enviadas en el formulario de inicio de sesión. Si la víctima ha configurado MFA, ahí es donde las cosas se vuelven aún más interesantes. El atacante no podrá usar las credenciales de la víctima para autenticarse, pero hay una salvedad: el atacante sigue interceptando todas las respuestas del servidor de origen, incluidas las cookies de autenticación, que son suficientes para obtener acceso y hacerse pasar por el usuario.
Estos servidores proxy vienen con funciones integradas que facilitan estos ataques, como registradores para enviar información HTTP a archivos y páginas web para ver ese contenido.
¿Cómo protegerse de un Reverse Proxy?
La única forma de evitar este tipo de ataques es comprobar y verificar cuidadosamente las URL, asegurándose de que realmente se originan en el sitio deseado y que este no ha sido clonado. Los certificados SSL no serán útiles en este escenario, ya que el atacante puede configurar certificados SSL válidos para el DNS que está utilizando. Los navegadores no detectarán nada incorrecto en ellos.
Nuestra Recomendación
Utilizar la plataforma de protección contra clonaciones de sitios web https://didsomeoneclone.me/ (existe versión gratuita)