Phishing – perspectivas y soluciones de un atacante

Introducción

Puedes enseñarle a un hombre a hacer phishing (pescar), pero … ¿no puedes hacerlo a prueba de phishing (evitar ser pescado)? Aparte del encabezado de este post, trataré de evitar los juegos de palabras sobre pesca para evitarte un disgusto.

¿Por qué estoy creando este post? Espero arrojar algo de luz sobre algunas de las mejores prácticas de seguridad para técnicos y no expertos desde el punto de vista de un atacante. No es el Mes de la Concientización sobre la Seguridad (esto es en octubre), así que considere esto como un aperitivo.

Spear-phishing

El Spear-phishing es algo con lo que tienen un gran éxito las empresas de seguridad durante las auditorías de Ingeniería Social. Claro, hay muchas herramientas por ahí que regularmente evalúan a los empleados para ver quién ha tomado suficiente café por la mañana, pero los ataques manuales y dirigidos pueden llevar las cosas al siguiente nivel.

He visto a administradores de TI que son partidarios de la formación contra el phishing a directores ejecutivos y casi cualquier otra persona que puedas imaginar en diversos puestos en todas las organizaciones que son víctimas de ataques.

De hecho, el phishing es tan exitoso en la naturaleza que, según un informe reciente de Cofense, el 91% de todos los ataques cibernéticos hoy en día se originan en una campaña de phishing.

Esto se comprueba en mi mente como un rápido control de la cordura, porque si sé que estoy en una vulneración como un teamer rojo y el phishing está en el alcance, estoy seguro de que vamos a encontrar un camino hacia la organización.

Otras vías

Alternativamente, debemos esperar que exista una mala configuración externa de un dispositivo, un código incorrecto en una aplicación o una vulnerabilidad en forma de una deficiencia de parches en algún lugar del perímetro del entorno al que las posibilidades de éxito no sean tan altas hoy en día.

No debería sorprender entonces que, dado que la mayoría de los incidentes comienzan como phishing, el factor humano o error humano es el vínculo más débil y, a menudo, el objetivo principal.

Es más fácil explotar a una persona que un dispositivo en la actualidad, y la capacitación en conciencia de seguridad no es tan efectiva como debería ser.

Entonces, dicho esto, echemos un vistazo a cómo se ve una campaña de phishing dirigida a través de los ojos del atacante y las soluciones para evitar que te enganches.

Buscando un agujero de riego (¡mencioné esto anteriormente!)

Bueno, mencioné que esto es un ejercicio de “phishing” y no el esquema del “Príncipe de Nigeria” de tu tío, así que tendremos que hacer nuestra investigación si queremos que la gente realmente abra el correo electrónico.

Es hora de ponerte tu sombrero negro. Si aún no conoces a la persona a la que te diriges, pero tu cliente quiere que vayas tras una organización, tendrás que encontrar algunas direcciones de correo electrónico.

Algunos clientes proporcionarán una lista del personal con sus direcciones de correo electrónico, roles y otra información relevante … ¡lo que es excelente! Pero no tenemos ese lujo en este escenario. ¿Qué podemos hacer? ¿OSINT .. que?

1) Página de perfil de la empresa

Bueno, gracias, sitio web de la compañía, por brindarme información de que Curtis Brazzell es un Consultor de Seguridad Administrativo en Pondurance y su correo electrónico es curtis.brazzell@pondurance.com. ¡Eso es un comienzo! (Por cierto, si no lo he dicho todavía, ahora es un buen momento para mencionar que no deberías probar nada de esto en casa).

2) Redes sociales

¡Genial! Esta vez no solo tengo su correo electrónico de trabajo, sino que también tengo su correo electrónico personal. Tienes la idea en este punto, ya que esto podría continuar con Google buscando el nombre de la víctima y encontrando otros recursos manualmente. O, puedes usar algunas herramientas para automatizar mucho de esto para ti.

3) Herramientas de reconocimiento

Maltego

El kit de herramientas de ingeniería social (SET), LinkedInt, Discover, Maltego, theHarvester, Recon-ng y MailSniper son solo algunas de las herramientas preferidas de mi equipo disponibles durante esta fase de recopilación de información, a menudo conocida como la fase de reconocimiento.

De hecho, usar una herramienta como MailSniper contra una organización grande puede ser más fácil que realizar phishing, ya que estás obligado a obtener al menos algunas cuentas válidas solo con una contraseña que salpica a los empleados con contraseñas malas como “Winter2018”. Si estás leyendo esto diciendo: ” ¡EY! ¡Esa es mi contraseña! “.. Quizas quieras cambiarla.

En mi experiencia, lo último que quieres hacer es lanzar una red amplia (¡ni siquiera intentarlo, lo siento!) Cuando persigues a la organización, tienes tiempo de tu lado y el objetivo es permanecer sin ser detectado durante algún tiempo. Hay circunstancias en las que un atacante puede querer enviar el mismo correo electrónico genérico a todos en la empresa, pero es probable que esto alerte a al menos una persona y todos estarán en alerta máxima.

Además, tus dominios podrían estar en la lista negra interna o externa, etc. Un correo electrónico menos personalizado tendrá menos posibilidades de atraer con éxito 😔 al destinatario en abrir el mensaje.

También, todo lo que necesitas es que una persona entregue las credenciales del correo si tiene acceso a Office 365, OWA u otro servicio de correo electrónico accesible externamente, ¡y puedes iniciar sesión como esa persona para comenzar a realizar phishing internamente en otros destinos del dominio legítimo! Lo haremos en este escenario más tarde.

El contexto

Una cosa que me he dado cuenta es que el contexto es todo cuando se realiza phishing. Digamos que “pesco” mi objetivo con éxito, entonces, ¿cuál será mi próximo paso? ¿Mi objetivo es entregar un RAT, robar credenciales u obtener datos para la capacitación en concientización sobre seguridad? 

Si es para entregar malware, considera cómo se verá tu payload ¿Estás planeando entregar un documento con un payload incluido? ¿Estás intentando enviar un enlace a un ejecutable? ¿Qué rol tiene el “Destinatario” que estás seleccionando en la organización?

Ahora considera quién será tu “Remitente” para imitar o enviar en nombre de él. ¿Una persona que no es de TI le pedirá a alguien que instale un ejecutable si ese no es el comportamiento normal? ¡Queremos que esto se vea creíble!

Para este escenario, asumiendo que hicimos un poco de reconocimiento y descubrimos que la distribución de correo electrónico del Departamento de TI es ” helpdesk@binaria.com“, diseñemos una campaña que sea creíble y apuntemos a un solo individuo.

Preparando el anzuelo

¡Justo en este momento nos decidimos a lanzar una campaña! Supongamos que somos el help desk y estamos enviando un correo electrónico a un gerente que podría tener acceso VPN a la organización.

Después de todo, hicimos nuestro reconocimiento y determinamos que hay una VPN de Cisco disponible en una dirección IP dentro del rango de IP externa de la organización.

¡Si obtenemos credenciales a través de phishing, podríamos acceder a la red interna! También hemos aprendido que el cliente Cisco AnyConnect tiene un campo para una “Segunda contraseña”, que sabemos es una especie de token autenticación de dos factores. Tendremos que incorporar soporte en nuestro portal para capturar el token o no llegaremos muy lejos, y es necesario que esté en un tiempo casi real, ya que generalmente caducan dentro de los siguientes 30 segundos aproximadamente. Para complicar aún más las cosas, la mayoría de los servicios de autenticación de 2 factores caducan el token después del siguiente uso.

Entonces, desde que decidimos robar las credenciales, necesitamos ver cómo se desarrollará. ¡Clonemos un portal de inicio de sesión de servicios web en nuestro propio sitio y hagamos que parezca que es de ellos!

Lo configuraremos para registrar las credenciales y los tokens ingresados ​​y luego los enviaremos al sitio real. También tendremos que comprar un dominio que se parezca al de la organización a la que nos dirigimos para que el usuario no sospeche al instante, y también deseamos que se cree una dirección de correo electrónico en ese mismo dominio. ¡Empecemos!

Técnicas y herramientas

También hay técnicas conocidas como bitswapping, homoglyph, punycode, etc., que se pueden aprovechar en función de tus preferencias. También existen herramientas para ayudarte a crear un dominio similar si no te sientes creativo.

Asimismo, es importante tener en cuenta que las técnicas como punycode solo funcionan en navegadores como FireFox y Opera, por lo que necesitas saber qué cliente está usando tu objetivo.

Una de las tácticas más avanzadas que intentamos aprovechar en mi equipo durante la fase de descubrimiento de información, es ver si hay vulnerabilidades de seguridad en las aplicaciones en los servidores web de la compañía, que puedan permitirnos usar su dominio para el phishing.

Estos incluyen secuencias de comandos de sitios cruzados (XSS), redireccionamientos abiertos o cargas de archivos no restringidas con referencias de objetos indirectos. Sin embargo, continuemos con el escenario actual en cuestión.

A continuación, vamos a obtener un servidor web. Me gustan las instancias de AWS Micro Ubuntu porque son rápidas, económicas y simples de configurar y finalizar cuando no las estás usando. Además, si tu dominio o tu IP son incluidos en la lista negra, es lo suficientemente simple como para obtener una nueva Elastic IP y volver al juego.

Ahora que tenemos un servidor web con un dominio configurado, obtengamos un certificado TLS gratuito. La mayoría de las personas han recibido capacitación en sesiones de Concientización sobre la seguridad para buscar el candado verde “Seguro” en el navegador.

Certificado

Esto no significa que el sitio sea seguro, simplemente significa que los datos se cifran en tránsito desde el cliente al servidor y viceversa. Al aprovechar un servicio gratuito llamado LetsEncrypt, puedes agregar fácilmente ese encantador “https” al frente de tu dominio.

El uso de cifrado es casi un requisito hoy en día si estás haciendo phishing, ya que Google Chrome y otros navegadores populares advierten al usuario al iniciar sesión en un formulario enviado en texto plano, lo que les daría una pista de nuestra treta.

Todo lo que queda por hacer ahora es preparar el contenido web falso para que se vea real.

Hay herramientas por ahí que clonarán un sitio estático fácilmente (HTTrack, SET, etc.), pero a menudo hay contenido dinámico (CSS / JS) que simplemente no se ve bien. Siempre me resulta más fácil simplemente “clic derecho Guardar como… Página web completa” directamente en mi navegador y editar manualmente el HTML localmente hasta que se vea bien.

En este punto, un truco que nos gusta hacer en nuestro equipo es agregar un anzuelo BeEF en la página de destino, posiblemente en un iframe para la persistencia. Esto nos permitirá conectar el navegador de nuestra víctima y recopilar análisis para nuestro entregable.

Por lo general, ahora tendrías que crear otra página para recibir la solicitud, crear una base de datos back-end para almacenar las credenciales, integrar algún mecanismo de alerta y agregar algo de lógica para redirigir a la víctima a otra página.

Como esto requiere tiempo y el conjunto de habilidades de cada persona es diferente, creé una API para que mi equipo se encargara de todo esto. Se me ocurrió un nombre realmente único para esta. La llamo… espérala, ¡Phishing-API!

Manos a la obra

Básicamente, debes editar el HTML de tu página falsa para incluir los parámetros requeridos para la API y ya está todo listo para iniciar el phishing. También puedes configurar notificaciones Slack (o modificar para IFTTT ) y un enlace de redirección para enviar al usuario una vez que hayas capturado las credenciales.

Me gusta enviar al usuario al sitio legítimo de nuevo para que piensen que en la primera ocasión “simplemente no se realizó”. Ya que estamos capturando un token 2FA y necesitamos tiempo para usarlo antes que el cliente legítimo, redirijámoslo a algún lugar donde no lo necesite.

Debe ser en un lugar que no genere demasiadas alarmas, como la página de inicio, por lo que piensan que es una falla. Me gusta configurar mi canal Slack para notificar a mi dispositivo móvil en cualquier momento que haya una publicación en ese canal, por lo que puedo actuar rápidamente si capturo a alguien.

Por último, si estás buscando algo mejor que mi API, consulta Evilginx o CredSniper. Estas son herramientas maravillosas y tienen muchas más funciones que mi simple programa.

Me gusta Evilginx porque configura un proxy transparente entre el cliente y el servidor, lo que hace que la solicitud pase por el proxy para capturar el token de sesión.

Esto significa que no tienes que redirigir al cliente como lo haces con la API. Se necesita un poco más de configuración, pero puede valer la pena si estás buscando realmente volar bajo el radar. ¡Veamos nuestro portal falso!

Sitio en línea

¡Por fin es hora de redactar un correo electrónico para nuestra primera víctima! Vayamos por ese chico tonto de Curtis Brazzell… el gerente con acceso VPN. Una vez que tengamos configurada nuestra cuenta de correo electrónico ” HelpDesk@binaria.com“, estamos listos para comenzar a redactar una solicitud creíble.

Recuerda, apostamos por el hecho de que Curtis no notará el dominio similar y no cuestionará la solicitud desde el help desk. Algunos clientes de correo electrónico (como Outlook en Office 365) te informarán si tu destinatario está fuera de la oficina. Microsoft está siendo amable con los atacantes, por lo que no tenemos que preguntarnos si se enamoraron o si simplemente están de vacaciones por dos semanas.

Para ayudar a obtener una respuesta más oportuna, creo que es útil poner algún tipo de urgencia en la solicitud. Además, para hacerlo un poco más creíble, es probable que desees considerar agregar una firma de correo electrónico de aspecto válido a los correos electrónicos salientes, especialmente si están acostumbrados a ver uno.

Es esa milla extra la que marca la diferencia entre una estafa de suplantación de identidad y phishing. Dado que no siempre están disponibles públicamente, me encanta enviar por correo electrónico las secciones “Contáctenos” o “Solicitar aquí” del sitio al que te diriges para ver si puedo obtener una respuesta con una firma.

Envío del correo

Por último, si te diriges a más de una persona, envía correos electrónicos separados y dirígete a la persona por su nombre para que no todos sean solo CC o BCC en la misma línea.

Ya que estamos usando phishing para obtener credenciales enviando víctimas a nuestra página de inicio falsa, desearemos usar un hipervínculo y enmascararlo de manera que no sea obvio para el destinatario.

Me he dado cuenta de que los filtros de correo no deseado hacen un buen trabajo hoy en día al capturar un hipervínculo donde el texto del hipervínculo parece un enlace, pero no coinciden.

Por ejemplo, es mejor usar un hipervínculo a la página de destino falsa que tiene el texto del hipervínculo “Portal de inicio de sesión seguro” o algo así en lugar de “http: //…notfake”. Nótalo a continuación:

Pescando

¡Esta es la parte divertida! Es donde te sientas en tu bote y esperas la pesca. En mi caso, me preparo un sándwich de mantequilla de maní y jalea mientras espero que mi dispositivo Android me alerte.

Una vez que se captura un pez, es hora de hacer clic en el enlace en ese mensaje recibido y reutilizar esas credenciales.

¡Tenemos un nombre de usuario, contraseña y un token! Mientras tanto, Curtis está mirando la página de inicio asumiendo que sus credenciales funcionaron ya que no ve una razón para creer que no eran válidas.

Mientras tanto, estoy limpiando la mantequilla de maní de mi camisa mientras ingreso frenéticamente nuestras nuevas credenciales en el portal VPN de Pondurance.

En este punto, es seguro decir que el dominio está comprometido y que Curtis probablemente no tiene idea de lo que sucedió. Como pentester, puede seguir desde aquí explotando activos internos, moviéndome lateralmente y recogiendo credenciales adicionales en el camino.

Otra opción puede ser usar las credenciales de Curtis para iniciar sesión en su bandeja de entrada y hacer que otra persona de la organización abra una RAT que nos permita acceder a una estación de trabajo.

Además, si ya tienes acceso a la cuenta de alguien mucho tiempo, puedes usar una herramienta como MailSniper para enumerar fácilmente todas las direcciones de correo electrónico en la Lista global de direcciones.

Me gusta aprovechar la funcionalidad de búsqueda que ofrece MailSniper para encontrar palabras confidenciales como “contraseña” en la bandeja de entrada, para que no tengas que husmear en los mensajes de las personas.

Esta es otra razón por la que nunca es una buena idea enviar por correo electrónico información confidencial, como contraseñas o números de identificación.

Mantener sesión abierta

Debido a que los usuarios pueden sospechar de las campañas de phishing, hemos encontrado que lo mejor es iniciar sesión en la bandeja de entrada del usuario tan pronto como sea posible y mantener la sesión abierta todo el tiempo que podamos. Al parecer, Office 365 no invalida la sesión, incluso si el usuario sospecha y cambia sus contraseñas de AD, por lo que puede ser una buena manera de mantener la persistencia durante toda la infracción.

No muerdas el anzuelo

Bien, leyendo esto, probablemente tengas algunas buenas ideas sobre cómo puedes evitar ser engañado como nuestro chico Curtis. No podemos confiar en los productos disponibles para detener todo el spam que llega, especialmente cuando está dirigido, por lo que tenemos que hacer nuestra debida diligencia nosotros mismos.

Las herramientas ayudan, pero realmente deberían considerarse la última línea de defensa contra la Ingeniería Social.

No podría cubrir todo lo que se debe tener en cuenta al detectar un correo electrónico de suplantación de identidad (phishing) y, además, este post no pretende ser una guía de conciencia de seguridad integral. Wired compartió un post recientemente sobre como resistir los ataques de phishing con tres reglas de oro, que vale la pena leer.

Cuando tengo dudas sobre un correo electrónico porque está fuera de lo normal, a veces llamo/envió mensajes de texto/contacto al remitente y pregunto si realmente lo envió.

Debes tratar de verificar siempre el remitente de un correo electrónico y desplazarte sobre los hipervínculos para asegurarte de que sean del dominio correcto.

Cuando tengas dudas sobre un enlace, ejecútalo a través de un analizador en línea como urlquery.net. Por último, desconfía de los archivos adjuntos, especialmente aquellos que sean ejecutables o que contengan contenido ejecutable (como documentos PDF documentos de Office con macros, OLE, etc.).

Ahora que ya sabes algunas cosas básicas a tener en cuenta, ¿qué puedes hacer para proteger tus cuentas si tus contraseñas son robadas?

Habilitar la autenticación de dos factores

En general, es una buena idea habilitar la autenticación multifactor (MFA) siempre que esté disponible para ti, como individuo y como organización. Una contraseña es algo que tu sabes, pero una segunda forma de autenticación puede ser algo que tengas, que te ayude a validar tu identidad. Se puede decir mucho sobre este tema y no planearé abarcarlo todo, pero abordaré los aspectos básicos a un alto nivel para que puedas estar al tanto de los inconvenientes de algunas implementaciones de 2FA.

Autenticación de dos factores (2FA)

Es probable que todos hayan visto alguna forma de estas en algún momento, probablemente cuando tu banco te envíe un código PIN y te solicite que lo uses junto con tu contraseña. Hay varios tipos diferentes de 2FA, incluidos los datos biométricos, los lectores de distintivos, etc. Aquí hay algunos de los más comunes:

Claves RSA

Estos son dispositivos de hardware, generalmente con una pantalla LCD, que proporcionan un pin numérico que cambia cada 30 segundos aproximadamente. Estos, como cualquier 2FA, son mejores que solo una contraseña, pero no sería demasiado difícil capturarlos en un ejercicio de phishing, como hicimos en nuestro escenario anterior. Todo lo que tenemos que hacer es engañar al usuario para que ingrese esto y actúe antes de que se agote el tiempo. Las notificaciones push a través de nuestra API nos permiten responder lo suficientemente rápido para que este ataque funcione.

Mensajes SMS

Esto ya no se considera una buena práctica, y veo que esto desaparecerá pronto. Los mensajes SMS pueden y han sido interceptados en la naturaleza mediante el intercambio de tarjetas SIM, redes celulares falsificadas y ataques de ingeniería social contra los proveedores de servicios inalámbricos de la víctima. Además, los SMS no están necesariamente vinculados a un dispositivo específico.

Software/aplicaciones de tokens

Las soluciones 2FA populares basadas en aplicaciones incluyen Google Authenticator y DUO, por nombrar un par. Si bien estos son mejores que los SMS, un atacante puede interceptarlos y usarlos antes de que la víctima los aproveche. En nuestro ejemplo, se usó DUO y no se configuró para que caduque con el tiempo, sino que se invalida al usarlo o cuando se actualiza manualmente. Esto solo le dio al atacante aún más tiempo para responder.

Notificación Push Móvil

En mi opinión, esta es la más segura de estas opciones 2FA enumeradas hasta ahora. Estos también son muy convenientes para el usuario. Es posible que hayas notado que Google ahora prefiere esto en lugar de la Autenticación de Google para G Suite, por lo que ahora simplemente recibes una notificación de inserción solicitando un “Sí” o “No” para confirmar que realmente estás intentando iniciar sesión en tu cuenta. También vale la pena mencionar que algunos productos de software como DUO te permiten, opcionalmente, usar “push” en lugar de un token, lo que hace que sea menos fácil de falsificar.

Autenticación universal de dos factores (U2FA)

Dispositivos de seguridad

Estos, en mi opinión, son los mejores. ¿Son infalibles? No. Si no lo has resuelto ya, nada debería decir que es “Prueba de hacking” o “Unphishable”. Sin embargo, es una de las opciones más fuertes disponibles en la actualidad.

Estos son dispositivos físicos de hardware, generalmente en forma de USB, que usan la conexión USB, NFC o Bluetooth para ayudar a proporcionar ese segundo factor de autenticación “que tienes”. Un ejemplo popular de esto es el Yubikey.

Ahora que este estándar abierto está despegando, muchos sitios web ofrecen soporte para estos tokens de seguridad física y no necesitan solicitarlos cada vez que inicien sesión, solo cuando estén utilizando un nuevo dispositivo o su sesión caduque.

Es difícil hacer phishing de lo que no se puede controlar, pero eso no impidió que un par de investigadores aprovecharan una falla WebUSB de Google Chrome para acceder a Yubikey Neo y obtener la autorización de forma remota. Desafortunadamente, esa es la manera en que más se usa, así que hay que deshabilitar WebUSB por ahora en tu navegador para mitigar el riesgo.

Brian Krebs publicó recientemente un artículo en el que afirma que Google no ha tenido ninguno de sus más de 85,000 empleados que han sido engañados desde que los empleados usaron U2FA desde principios de 2017. ¡Eso dice algo!

Más usos

Para llevar las cosas aún más lejos con un dispositivo de hardware como Yubikey, Microsoft anunció recientemente que Azure Active Directory e incluso las cuentas de Microsoft que no son AD pueden usar Yubikey para Windows Hello en Windows en lugar de una contraseña (o junto con ella) para iniciar sesión en el sistema operativo.

¡Obligatorio! Además, con el lanzamiento del nuevo estándar abierto de WebAuthN, facilitará que los sitios web comiencen a admitir la autenticación basada en hardware, por lo que espera ver más de esto en un futuro cercano.

Reportar cualquier incidente o sospecha.

Creo que el mejor enfoque es hacer lo que puedas para evitar ser víctima, pero supón que en algún momento caerás en algo. Incluso los mejores de nosotros pueden caer en una estafa cuando menos lo sospechamos. Después de todo, estamos revisando potencialmente cientos de correos electrónicos al día y es fácil bajar la guardia.

Aprendes mucho sobre las personas después de reunir el acceso a sus bandejas de entrada y, como todos nosotros, las personas tienden a ser un poco humilladas cuando descubren que han sido engañadas. Muchas veces, después de sospechar de un correo electrónico del que fueron víctimas, no se informa. Eso, o se informa, pero no se revela que la persona cumplió con la solicitud.

A tomar en cuenta

Lo importante es que todos tengan una mentalidad de “Vigilancia de Vecindario”. Si la primera persona sospecha que algo está mal y lo informa, entonces potencialmente podrían evitar que muchos otroscaigan en el mismo esquema.

El Departamento de TI puede descifrar rápidamente los registros DNS, bloquear las direcciones IP en el firewall y no permitir las URL en el filtro de contenido web para ayudar a mitigar el ataque. Si tus credenciales o computadoras están comprometidas, es mejor informar inmediatamente que esperar silenciosamente a que se usen para otra cosa sin tu conocimiento.

De llegar a robar tus credenciales, es de esperar que no estés reutilizando esa contraseña en ningún otro lugar. Si es así, considera cambiarlas de inmediato y busca obtener una bóveda de contraseña protegida con MFA. 😜

Si planeas comenzar a agregar MFA a todas tus cuentas, ¡muy bien por ti! Yo diría que el lugar más importante para comenzar es con tu correo electrónico o, si usas Inicio de sesión único, esas cuentas también (Facebook, Google, entre otros.).

La razón por la que digo esto es porque no puedo decirle la cantidad de veces que ingresé en una bandeja de entrada y simplemente pude realizar un “olvidé de mi contraseña” para obtener acceso a un sitio externo, ¡incluso si estás asegurado con MFA!

Muchas veces puedes desactivar MFA o volver a inscribirte (como he hecho en pentests anteriormente) en el dispositivo del atacante, siempre y cuando tengas acceso a la bandeja de entrada de la víctima.

Espero que hayas disfrutado este post y que hoy salgas un poco más armado contra este tipo de ataques, tanto para ti como para tu organización. Recuerda, ¡si algo te atrae, podría ser una trampa.