Cuando pensamos en el ejemplo clásico de secuestro de sesión, pensamos en los ataques Man-in-the-Middle (MitM) de la vieja escuela que implicaban espiar el tráfico de red local no seguro para capturar credenciales o, más comúnmente, detalles financieros como datos de tarjetas de crédito. O bien, realizando ataques del lado del cliente que comprometan una página web, ejecutando JavaScript malicioso y utilizando secuencias de comandos entre sitios (XSS) para robar el ID de sesión de la víctima.

Genesis Market, una de las principales webs de comercio de credenciales, ha sido desmantelada en una operación encabezada por el FBI y la Policía Nacional holandesa. Eso sí, según la Europol, para que este trabajo llegara a buen puerto, participaron nada menos que los cuerpos policiales de 17 países. Por desgracia el mercado Genesis en la Dark Web todavía funciona (genesis7...)

Microsoft ha descubierto una campaña de phishing a gran escala que utilizaba sitios de phishing del tipo "adversario en el medio" (AiTM o adversary-in-the-middle en inglés, un tipo de phishing muy poco conocido hasta ahora). Gracias a esta estrategia, la empresa de Redmond vio que estos atacantes robaban contraseñas, secuestraban la información de inicio de sesión de un usuario y se saltaban el proceso de autenticación incluso si el usuario había activado la autenticación multifactor (MFA).

Check Point Software Technologies Ltd., proveedor mundial en seguridad para Internet, ha anunciado el descubrimiento de Misfortune Cookie, una vulnerabilidad crítica que permite a los intrusos tomar control de muchos de los gateways domésticos que dan acceso a Internet. Se le ha asignado el identificador CVE-2.014-9222. Esta grave vulnerabilidad permite a un atacante tomar forma remota a través del dispositivo con privilegios administrativos.