Cómo funcionan los ataques de relleno de credenciales y cómo prevenirlos


Los ataques de relleno de credenciales representan un riesgo significativo para los consumidores y las empresas. Aprenda cómo funcionan y qué puede hacer al respecto.

«data-credit =» Imagen: peshkov, Getty Images / iStockphoto «rel =» noopener noreferrer nofollow «>Concepto de piratería y phishing

Imagen: peshkov, Getty Images / iStockphoto

No hay escasez de amenazas en World wide web, lo que pone en riesgo a los usuarios finales y mantiene ocupados a los profesionales de TI y ciberseguridad. El relleno de credenciales es un riesgo que puede representar un gran peligro para los consumidores y los empleados de negocios.

VER: Lista de verificación: evaluación de riesgos de seguridad (Descarga de TechRepublic High quality)

Hablé con Sumit Agarwal, cofundador y director de operaciones de Seguridad de forma, una organización de ciberseguridad sobre el concepto. Agarwal se desempeñó como subsecretario adjunto de defensa bajo la presidencia de Obama.

Scott Matteson: Se te ocurrió el término «relleno de credenciales» en 2011 cuando estabas en el Pentágono. ¿Qué es el relleno de credenciales?

Sumit Agarwal: Está bien. Mientras servía como subsecretario adjunto de Defensa, observé ciberataques muy complicados que afectan a sitios website militares que se enfrentan públicamente. Me di cuenta de que era solo cuestión de tiempo antes de que esos ataques afectaran las cuentas en línea de la persona promedio. A estos ataques maliciosos los denominé «relleno de credenciales».

El relleno de credenciales es el armamento de credenciales robadas (nombres de usuario y contraseñas) contra sitios world-wide-web y aplicaciones móviles. Las listas de credenciales robadas de un sitio world-wide-web se prueban en las páginas de inicio de sesión de otros sitios net para obtener acceso no autorizado a las cuentas y cometer fraude.

El aspecto más noteworthy del relleno de credenciales es que una empresa determinada no tiene que ser violada para sufrir el relleno de credenciales. La vulnerabilidad es simplemente tener un formulario de inicio de sesión y tener usuarios.

Hay más de 15 mil millones de pares de credenciales robadas en manos de ciberdelincuentes. Los delincuentes pueden robar credenciales ellos mismos o, lo más probable, comprarlos en Dark Website.

Scott Matteson: ¿Como funciona?

Sumit Agarwal: La mayoría de los consumidores reutilizan nombres de usuario y contraseñas en diferentes aplicaciones internet y móviles. Esto se capitaliza con fines de relleno de credenciales.

Primero, analicemos la causa raíz del problema: los consumidores se están ahogando en la complejidad de la seguridad. Después de muchos, muchos años de consejos sobre la complejidad de la contraseña (mayúsculas, minúsculas, números, caracteres especiales, etcetera.), los consumidores han respondido seleccionando solo unas pocas contraseñas que cumplan con todos esos requisitos de complejidad y luego reutilizando esas contraseñas en muchos sitios world wide web.

Aunque esta práctica es awful desde una perspectiva de seguridad, es comprensible. Cuando las grandes empresas piden demasiado a los consumidores, reaccionan encontrando formas de simplificar sus vidas. Así que este es el telón de fondo para el relleno de credenciales: mucha complejidad de contraseña, muchos consumidores que sobreviven creando algunas contraseñas conformes y luego reutilizándolas en más de 30 cuentas en promedio.

A continuación, es importante comprender que el relleno de credenciales y otros ataques de automatización contra aplicaciones net y móviles son una búsqueda económica para los ciberdelincuentes. Operan como empresas, luchando por márgenes de ganancia específicos, y hay un complejo industrial subterráneo completo que se ha desarrollado para respaldar sus ataques criminales.

El relleno de credenciales es un ataque volumétrico: los atacantes saben que disfrutarán de tasas de éxito de más de 1 en 100 (lo que puede sonar bajo para la persona promedio, pero si multiplica por 10 millones de intentos de credenciales, make 10,000 tomas de cuenta exitosas, que valen fácilmente $ 100 a $ 1,000 cada uno).

Para cumplir con los objetivos económicos de los atacantes criminales, el complejo industrial prison ha desarrollado tres elementos que potencian sus ataques:

  • Credenciales de bajo costo, generalmente robado a través de violaciones de datos a gran escala, y luego vendido a delincuentes en la Dim Internet. En enero de 2019 miles de millones de credenciales robadas se publicaron en la Darkish Internet para su descarga gratuita en un caché llamado Colecciones 1 a 5.

  • Herramientas de ataque especialmente diseñadas o herramientas de manage de calidad reutilizadas que automatizan el proceso de credenciales de inicio de sesión de ametralladoras en aplicaciones world-wide-web y móviles. Los kits de herramientas de relleno de credenciales de muestra incluyen Sentry MBA, Wget, rizo, PhantomJS, Selenio y Sikuli. La mayoría de los kits de herramientas de ataque son gratuitos o de muy bajo costo, y también ofrecen archivos de configuración preconstruidos que adaptan los ataques a sitios y aplicaciones populares específicos por tan solo $ 50 por sitio.

  • Botnets y otra infraestructura de pink simulada, por lo que el tráfico de ataque parece originarse orgánicamente a partir de usuarios reales en un área geográfica «standard» (por ejemplo, el oeste de los Estados Unidos), en lugar de todo a partir de una dirección IP en Ucrania o Filipinas.

La automatización proporcionada por estos componentes es clave para el modelo económico legal para el relleno de credenciales.

Condition derrota la economía de los ciberdelincuentes, haciendo que el relleno de credenciales y otros ataques de automatización sean prohibitivamente costosos para los delincuentes en sitios world wide web protegidos y aplicaciones móviles.

Scott Matteson: ¿Cuáles son los objetivos y las motivaciones detrás de esto?

Sumit Agarwal: Ganancias económicas por robo, fraude y engaño. Un estudio estima que el cibercrimen Los ingresos alcanzaron los $ 1,5 billones en 2018. Esta es una economía sumergida más grande que muchos estados-nación legítimos.

Scott Matteson: ¿Dónde es más frecuente esta amenaza?

Sumit Agarwal: Como un esfuerzo económico, los cibercriminales atacan donde está el dinero. Las amenazas son más frecuentes en las grandes verticales de B2C, incluidos los servicios financieros, el comercio minorista y el comercio electrónico, los viajes y la hospitalidad, las telecomunicaciones, los medios, el gobierno, las redes sociales y el entretenimiento.

Scott Matteson: ¿Quién está detrás de la amenaza?

Sumit Agarwal: Los cibercriminales están detrás de la amenaza. Por lo normal, estos delincuentes operan fuera de los Estados Unidos, con prevalencia en el mundo en desarrollo.

Scott Matteson: ¿Cómo deberían protegerse las empresas de ello?

Sumit Agarwal: Aquí hay cuatro cosas que las empresas pueden hacer de inmediato para protegerse:

  1. Tenga en cuenta que es possible que esté en riesgo, o que ya esté bajo ataque, si sus aplicaciones web o móviles brindan la oportunidad de comprar o intercambiar algo de valor.

  2. Supervise las métricas de su negocio para detectar signos de que ya puede estar experimentando el relleno de credenciales u otros ataques de automatización, incluidas tasas de éxito de inicio de sesión pobres o decrecientes, altas tasas de restablecimiento de contraseña o bajas tasas de conversión de tráfico a éxito.

  3. Analice el patrón de tráfico por hora a su inicio de sesión y otras URL atacables para detectar picos de tráfico o volumen fuera de las horas normales de operación humana para sus mercados: los usuarios reales duermen, los ataques automáticos no.

  4. Obtenga equipos de infoseguridad, fraude y digitales en una sala para discutir la posibilidad de ataques de automatización, tendencias de fraude actuales y métricas digitales.

Ver también



Enlace a la noticia primary