Phishing sobre Login de AWS con Bypass de MFA
¿Crees tener lo que se necesita para ser un experto en Pentesting contra AWS? Si nuestro libro te abrió los ojos a las posibilidades de la ciberseguridad ofensiva o si ya cuentas con habilidades en este campo, es momento de subir de nivel. Te retamos a certificarte en el CPNA - Curso Profesional de Pentesting Contra AWS. No será fácil: te enfrentarás a un examen riguroso de 12 horas donde deberás hackear una infraestructura completa alojada en AWS. ¿Listo para el desafío? Acepta el reto y demuestra tu verdadero potencial.
La ingeniería social representa uno de los métodos más habituales mediante los cuales los atacantes maliciosos logran acceso no autorizado a los entornos de sus objetivos. Este enfoque explota el eslabón más débil de cualquier organización: el elemento humano. Generalmente, las campañas de phishing pierden efectividad cuando sus blancos utilizan la autenticación multifactor (MFA, por sus siglas en inglés). No obstante, a medida que las defensas se vuelven más sofisticadas, los atacantes y sus métodos evolucionan, reduciendo significativamente la eficacia de la MFA.
En este blog, abordaremos diversas opciones de código abierto que apoyan en la realización de compromisos de phishing contra blancos y sitios web que implementan MFA. Para este artículo, centraremos nuestra atención en los inicios de sesión de usuarios de AWS IAM, tanto con MFA habilitado como sin él, para ilustrar este concepto.
Es importante destacar que este ataque solo funciona contra dispositivos MFA virtuales (como Duo, Google Authenticator, etc.) y no contra dispositivos MFA basados en hardware (como Yubikey). Esto se debe a que los dispositivos basados en hardware pueden implementar comprobaciones adicionales para asegurar que el usuario no se encuentre en una página de phishing durante la autenticación.
Para visualizar una demostracion de este ataque, te recomendamos la siguiente lectura:
Última actualización
