Cómo un mundo sin contraseña podría haber evitado la …



Si la historia nos ha enseñado algo, es que los hackers pueden (y lo harán) comprometer las contraseñas. La innovación en la tecnología de autenticación está preparada para cambiar eso en el próximo año.

Cuando se trata de la frecuencia de los incidentes de ciberseguridad, podemos estar dirigiéndonos a un territorio desconocido: hasta ahora, 2019 está en camino de ser el «peor año registrado», según la investigación más reciente de Possibility Based Security. Ha habido más de 5,180 incumplimientos dentro de los primeros nueve meses de este año (en comparación con 3,886 en el mismo período de tiempo en 2018), con casi 8 mil millones de registros perdidos (en comparación con aproximadamente 3,8 mil millones en el mismo período del año pasado).

No es sorprendente que tres de cinco infracciones involucren el compromiso de las credenciales de contraseña, que proporcionan un punto de entrada constante para los ciberdelincuentes. Según una investigación de HSB, los datos personales (direcciones, números de teléfono, información de la cuenta de la tarjeta de crédito) siguen siendo un objetivo principal, con El 39% de los consumidores encuestados informaron que han sido víctimas de estos ataques..

Cinco incidentes del año pasado fueron uno de los principales titulares en las noticias de seguridad cibernética. Con cada una de ellas involucrando la exposición de credenciales de contraseña y / o datos personales, vemos que ninguna compañía o individuo es inmune, ni el CEO de un gigante de las redes sociales o un ícono de la industria del entretenimiento o una querida marca de tiendas de donas:

œ Disney +: En noviembre, menos de una semana después del debut mundial de Disney +, se ofrecieron a la venta miles de cuentas secuestradas en mercados cibercriminales. La reutilización de contraseñas (los propietarios de cuentas que usan contraseñas que usan para otros servicios) llevaron a la mayor parte de los compromisos. Vía relleno de credenciales, los piratas informáticos toman un conjunto de nombres de usuario / contraseñas que se filtraron en infracciones anteriores y luego los aplican a otro servicio para intentar obtener acceso. La práctica ha crecido a proporciones epidémicas, ya que Akamai registró más de 61 mil millones de intentos de relleno de credenciales desde enero de 2018 hasta junio de 2019.

œ AT&T: Un hombre de Torrance, California, presentó una demanda en octubre contra AT&T, acusando a los empleados del transportista de ayudando a los piratas informáticos a robarle criptomonedas por un valor de $ 1.8 millones. El incidente se relacionó con un esquema de «intercambio de SIM», en el que los atacantes toman el regulate del número de teléfono de una víctima al convencer al operador de un objetivo para que cambie su módulo de identidad de suscriptor (SIM) a una tarjeta SIM en un dispositivo bajo el command de los atacantes. En algunos casos, pagan a los empleados de la compañía telefónica para que hagan los cambios. Con esto, obtienen acceso a una gran cantidad de datos personales y aplicaciones asociadas con el teléfono de la víctima.

œ El CEO de Twitter Jack Dorsey: Un hacker anónimo se hizo cargo de la cuenta de Twitter de Dorsey brevemente en agosto para tuitear amenazas de bomba y publicaciones racistas. Esta violación también se relacionó con el intercambio de SIM. En muchos casos de intercambio de SIM, los piratas informáticos obtendrán los números de teléfono llamando a una línea de ayuda al cliente de un proveedor de telefonía mientras fingen ser la víctima. Una vez que los hackers tienen el handle de un número de teléfono, a menudo llaman a un servicio como Twitter y solicitan un código de inicio de sesión temporal, comúnmente enviado a su dispositivo por mensaje de texto.

œ Microsoft Office 365: Barracuda Networks informó en mayo que los piratas informáticos comprometieron las cuentas de Office 365 de tres de cada 10 organizaciones solo en marzo, y luego envió 1,5 millones de correos electrónicos maliciosos y spam. Una vez más, muchos de los incidentes estuvieron relacionados con el robo de credenciales de inicio de sesión de las bases de datos de infracciones anteriores, que se publicaron en foros criminales, es decir, el relleno de credenciales.

œ Dunkin Donuts: La compañía anunció en febrero, por segunda vez en tres meses, que los hackers usaron el relleno de credenciales para acceder a los premios «DD Perks» de los clientes cuentas, vendiendo las cuentas en foros de Dark Web.

Estos cinco incidentes ilustran la aparición del relleno de credenciales y el intercambio de SIM como dos métodos de ataque cada vez más formidables. También demuestran que nuestra continua dependencia de las contraseñas nos deja más vulnerables que nunca. Durante el tiempo que han existido, los ciberdelincuentes han utilizado con éxito contraseñas robadas para «abrir la puerta» de una purple empresarial o cuenta personal y hacer lo que quieran una vez dentro. Con las nuevas innovaciones en tecnologías de autenticación, ya no hay necesidad de procesos de inicio de sesión tradicionales. (Nota del editor: Trusona es uno de varios proveedores que comercializa tecnología de autenticación sin contraseña). De hecho, así es como un mundo sin contraseña evitaría estos dos métodos de ataque comunes por completo:

Relleno de credenciales: Esto es esencialmente una jugada de volumen, ya que los delincuentes cibernéticos toman una gran bolsa de nombres de usuario / contraseñas robados o filtrados y los arrojan a numerosos sitios web y aplicaciones para ver cuáles se quedan. Obviamente, sin contraseñas, no habría relleno de credenciales. Las empresas se beneficiarían de considerar seriamente el uso de sitios web, servicios en línea y aplicaciones móviles para sus usuarios / empleados que no tienen un campo de inicio de sesión, adoptando alternativas como biometría, códigos QR y autenticación basada en certificados.

Intercambio de SIM: Después de obtener acceso al número de teléfono de la víctima, los piratas informáticos solicitarán un código de acceso único por SMS para los inicios de sesión asociados con ese número. Debido a que el SMS viaja a través de la red de la compañía telefónica, va al dispositivo que controla el número de teléfono robado.

Pero el uso de la autenticación de notificación press elimina este escenario, al enviar una notificación drive directamente a un usuario para alertarlo de que alguien está tratando de obtener autenticación en su dispositivo. El usuario luego aprueba o niega el acceso. Las notificaciones force no viajan a través de la pink telefónica pasan por la red del sistema operativo del dispositivo (como iOS o Android). Por lo tanto, la notificación aparece en el dispositivo del usuario y no en el hacker.

Es hora de que reconozcamos que la era genuine de las infracciones requiere diferentes estrategias para frustrarlas. Si el pasado es un prólogo, entonces los hackers pueden (y seguirán) comprometiendo las contraseñas. Cuando cortamos el cable y nos deshacemos de ellos para siempre, finalmente daremos los siguientes pasos fundamentales hacia un entorno verdaderamente protegido para la empresa y el individuo. Esto suena como una muy buena resolución de Año Nuevo para hacer en 2020.

Contenido relacionado:

Ori Eisen ha pasado las últimas dos décadas luchando contra el crimen en línea y posee más de dos docenas de patentes de ciberseguridad. Antes de fundar Trusona, estableció el 41º parámetro de la solución de prevención y detección de fraude de comercio electrónico e instituciones financieras en línea, adquirido por … Ver biografía completa

Más thoughts





Enlace a la noticia original