Investigadores de seguridad han revelado hoy una nueva campaña de ataques altamente efectiva atribuida a un grupo vinculado a Rusia (rastreado como UNK_AcademicFlare). Los atacantes están utilizando una técnica conocida como “Device Code Phishing” para secuestrar cuentas de Microsoft 365 en sectores de gobierno, educación y transporte en EE. UU. y Europa.
¿Cómo funciona el engaño?
A diferencia del phishing tradicional que te lleva a una web falsa (micros0ft-login.com), este ataque utiliza la página legítima de Microsoft.
- El Gancho: La víctima recibe un correo electrónico (generalmente sobre salarios o documentos urgentes) que le pide realizar una acción.
- La Trampa: El enlace redirige al usuario a la página oficial de inicio de sesión de dispositivos de Microsoft (microsoft.com/devicelogin).
- El Código: El atacante, que ha iniciado un proceso de login en su propio dispositivo (un script malicioso), le proporciona a la víctima un código alfanumérico. Si la víctima introduce ese código en la web oficial y acepta, está autorizando al dispositivo del atacante a acceder a su cuenta.
Una vez autorizado, el sistema de Microsoft genera un token de acceso y un token de actualización que se envían al hacker, dándole control total sobre el correo y los archivos de la víctima sin necesidad de saber su contraseña.
¿Quién está detrás?
Proofpoint ha vinculado esta actividad a intereses rusos, dado que sus objetivos incluyen especialistas en Rusia, think tanks y el sector energético ucraniano. Aunque es espionaje, la técnica se está popularizando gracias a kits de phishing listos para usar como Graphish y SquarePhish.
¿Por qué es tan peligroso?
El usuario ve el candado verde, ve el dominio microsoft.com y ve el certificado válido. Todo parece real porque lo es. El fallo no es técnico, es lógico. El flujo de “Device Code” está pensado para loguear dispositivos que no tienen navegador (como una Smart TV o una impresora), pero los hackers lo están forzando para engañar a humanos.
¿Cómo mitigarlo?
- Bloquea el Flujo: Si tus usuarios no necesitan conectar dispositivos IoT o Smart TVs a la cuenta corporativa, deshabilita el flujo de autenticación por código de dispositivo en las políticas de Acceso Condicional.
- Dispositivos Gestionados: Configura una política que exija que el dispositivo que solicita el acceso sea “Compliant” o esté unido al dominio híbrido. Como el dispositivo del hacker no lo está, el ataque fallará, aunque el usuario introduzca el código.
- Educación: Enseña a tus usuarios: “Nunca introduzcas un código en una web si tú no iniciaste la solicitud en ese preciso momento”.
