La amenaza evolutiva del relleno de credenciales



La desviación de Bots para centrarse en las API significa que las empresas deben tomar la amenaza en serio y tomar medidas efectivas.

Consider instalar una cerradura de seguridad con un sistema de alarma de última generación para su puerta principal, pero dejando la puerta trasera abierta de par en par. Nadie haría eso derecho? Sin embargo, muchas empresas cometen un error equivalent con sus defensas de ciberseguridad. Pusieron una seguridad equivalent a Fort Knox en la parte frontal de sus aplicaciones y sitios world-wide-web, dejando sus API críticas de back again-conclusion expuestas al mundo.

Gartner predice que para 2022, los abusos de la API se convertirán en el vector de ataque más común que dará como resultado violaciones de datos. «A pesar de la creciente conciencia de la seguridad API, las infracciones continúan ocurriendo», dice la firma analista. Cuando se suma el número overall de registros violados en los últimos años, más del 50% se extrae a través de aplicaciones y API.

Solía ​​ser que el método preferido de los hackers para obtener acceso a las cuentas en línea period a través de páginas de inicio de sesión orientadas al usuario en un método de adquisición de cuenta llamado relleno de credenciales. El relleno de credenciales aprovecha un punto débil común: la tendencia de muchos usuarios a reutilizar contraseñas. Esto hace que sea más fácil para un atacante aprovechar una lista de nombres de usuario y contraseñas robadas de una cuenta y, en un efecto dominó perjudicial, ejecutarlas en muchos servicios.

Los ciberdelincuentes ejecutan estos ataques de fuerza bruta con una gran ayuda de herramientas de automatización baratas pero potentes, específicamente bots que martillan sitios con varias combinaciones de nombres de usuario y contraseñas una y otra vez hasta que encuentran la combinación correcta y entran.

Como cualquier buen drama, un ataque típico de relleno de credenciales se desarrolla en tres actos:

  1. El atacante roba las credenciales de un sitio o, en algunos casos, adquiere las credenciales derramadas de una violación del sitio en la World wide web oscura. No es raro que millones de registros se tomen en una sola violación.
  1. El atacante united states una red de bots para verificar las credenciales en contra de múltiples cuentas y superar mecanismos simples de detección y mitigación al extender el ataque entre cientos o miles de dispositivos. Comunidades enteras de delitos informáticos han surgido para recomendar tácticas y vender archivos de configuración de clientes automatizados dedicados a objetivos particulares.
  1. Tras un inicio de sesión exitoso, el atacante puede hacerse cargo de las cuentas y robar información own, como números de tarjetas de crédito o puntos de recompensa. El atacante también puede usar la cuenta para otros fines maliciosos, como enviar spam desde una cuenta de correo electrónico.

Las víctimas de relleno de credenciales en los últimos años incluyen al equipo de fútbol español FC Barcelona, ​​cuya cuenta de Twitter fue pirateado y luego envió tweets falsos y Dunkin &#39Donuts, que prevenido clientes en su programa DD Perks que una fuente no autorizada obtuvo acceso a los nombres de usuario y contraseñas de algunos titulares de cuentas.

A medida que más empresas mejoran el bloqueo de sus aplicaciones entrance-conclude y páginas world wide web para protegerse contra el relleno de credenciales, los malos actores han visto cada vez más una oportunidad en las API y microservicios de back-stop que han tendido a ser mal defendidos. Ya vemos más de la mitad de las infracciones que ocurren de esta manera, y el equilibrio continuará cambiando más en esa dirección.

Entrar a través de una API es atractivo para los atacantes porque hay menos obstáculos para navegar: muchas empresas simplemente desconocen la gran cantidad de datos que transmiten a través de las API y no hacen un trabajo lo suficientemente bueno para protegerlos.

Agregue a eso el hecho de que los bots comprenden una enorme cantidad de tráfico de Web. El cuarenta por ciento de los 25 petabytes que procesa nuestra empresa cada mes proviene de bots, y la mitad de eso es con fines maliciosos, como el relleno de credenciales. Gracias a la nube pública y a herramientas más sofisticadas, se ha vuelto más fácil y más barato para los hackers crear y lanzar bots cada vez más potentes.

Los ataques a las API son una amenaza importante en un momento en que se han convertido en la columna vertebral de las aplicaciones de software package que ejecutan el mundo electronic. Un ejemplo es la banca abierta, que está diseñada para facilitar la vida de los consumidores al proporcionar a los proveedores de servicios financieros de terceros acceso electrónico a los datos de los bancos y otras instituciones financieras mediante el uso de API, con los socios externos que luego desarrollan nuevas aplicaciones y servicios en parte top-quality.

¿Entonces, qué puede hacerse?

Primero, las empresas simplemente necesitan asignar una prioridad tan alta a la seguridad de sus API y servicios back again-finish como lo han hecho en otras partes de su infraestructura. Las API también son aplicaciones y una inyección SQL sigue siendo una inyección SQL, independientemente de si se puede realizar a través del front-stop o el back again-conclude.

En segundo lugar, los principales actores, como Apple y Google, que tienen plataformas móviles dominantes, podrían hornear la gestión de contraseñas y la autenticación de dos factores (2FA) directamente en sus respectivas plataformas. Estas compañías tienen recursos infinitos para ayudar a los consumidores, y deberían hacerlo. El resultado neto sería una población basic con contraseñas más fuertes y gestión de identidad.

Para protegerse contra el relleno de credenciales entrance-close de la vieja escuela, los usuarios deben recordar usar diferentes contraseñas para diferentes aplicaciones y sitios. En ausencia de opciones nativas de la plataforma, sugerimos que las personas usen administradores de contraseñas y soluciones 2FA. Para aplicaciones y servicios más serios, recomendamos llaves de components.

El relleno de credenciales ha sido durante mucho tiempo uno de los tipos más comunes de ataques cibernéticos, pero la amenaza está evolucionando. Las empresas deben tomar la amenaza en serio y tomar medidas efectivas.

Contenido relacionado:

Kunal Anand es el Director de Tecnología (CTO) de Imperva. Kunal se unió a Imperva cuando Prevoty, una compañía que cofundó en 2013 y donde se desempeñó como CTO, fue adquirida por Imperva en agosto de 2018. Antes de unirse a Prevoty, fue director de tecnología en BBC Worldwide. Kunal … Ver biografía completa

Más ideas





Enlace a la noticia unique