El ciclo de vida de una foundation de datos dañada – Krebs on Protection


Cada vez que hay otra violación de datos, se nos solicita que cambiemos nuestra contraseña en la entidad violada. Pero la realidad es que, en la mayoría de los casos, cuando la organización víctima revela un incidente públicamente, la información ya ha sido recolectada muchas veces por ciberdelincuentes con fines de lucro. A continuación, se ofrece un análisis más detallado de lo que ocurre normalmente en las semanas o meses antes de que una organización notifique a sus usuarios sobre una base de datos vulnerada.

Nuestra continua dependencia de las contraseñas para la autenticación ha contribuido a que se derrame o piratee información tóxica tras otra. Incluso se podría decir que las contraseñas son los combustibles fósiles que impulsan la mayor parte de la modernización de la TI: son ubicuas porque son baratas y fáciles de usar, pero eso significa que también conllevan importantes compensaciones, como contaminar Web con datos armados cuando &#39 se filtran o se roban en masa.

Cuando la base de datos de usuarios de un sitio world-wide-web se ve comprometida, esa información aparece invariablemente en los foros de piratas informáticos. Allí, los habitantes con plataformas informáticas construidas principalmente para minar monedas virtuales pueden ponerse a trabajar utilizando esos sistemas para descifrar contraseñas.

El éxito de este descifrado de contraseñas depende en gran medida de la longitud de la contraseña y del tipo de algoritmo de hash de contraseñas que utiliza el sitio world wide web de la víctima para ofuscar las contraseñas de los usuarios. Pero una plataforma de minería de cifrado decente puede descifrar rápidamente la mayoría de los hash de contraseña generados con MD5 (uno de los algoritmos hash de contraseñas más débiles y más utilizados).

«Le entregas eso a una persona que solía extraer Ethereum o Bitcoin, y si tiene un diccionario lo suficientemente grande (de hashes precalculados), entonces esencialmente puedes romper el 60-70 por ciento de las contraseñas hash en uno o dos días, » dicho Fabian Wosar, director de tecnología de la empresa de seguridad Emsisoft.

A partir de ahí, la lista de direcciones de correo electrónico y las contraseñas descifradas correspondientes se ejecutarán a través de varias herramientas automatizadas que pueden verificar cuántos pares de direcciones de correo electrónico y contraseñas en un determinado conjunto de datos filtrados también funcionan en otros sitios world-wide-web populares (y el cielo ayude a aquellos que han vuelto -utilizó su contraseña de correo electrónico en otro lugar).

Este cribado de bases de datos para la reutilización de contraseñas y frutas fáciles de encontrar a menudo arroja una tasa de éxito de menos del uno por ciento y, por lo normal, mucho menos del uno por ciento.

Pero incluso una tasa de aciertos por debajo del uno por ciento puede ser rentable para los estafadores, particularmente cuando están probando contraseñas en bases de datos con millones de usuarios. A partir de ahí, las credenciales se utilizan eventualmente para el fraude y se revenden a granel a servicios en línea legalmente turbios que indexan y revenden el acceso a datos violados.

Al igual que WeLeakInfo y otros operados antes de ser cerrados por las agencias de aplicación de la ley, estos servicios venden acceso a cualquier persona que quiera buscar entre miles de millones de credenciales robadas por dirección de correo electrónico, nombre de usuario, contraseña, dirección de World-wide-web y una variedad de otros campos típicos de la foundation de datos.

PHISHING DIRIGIDO

Entonces, con suerte, en este punto debería estar claro por qué reutilizar las contraseñas es generalmente una mala concept. Pero la amenaza más insidiosa con las bases de datos pirateadas no proviene de la reutilización de contraseñas, sino de la actividad de phishing dirigida en los primeros días de una infracción, cuando relativamente pocos inútiles tienen en sus manos una nueva base de datos pirateada.

A principios de este mes, los clientes del minorista de camisetas de fútbol classicfootballshirts.co.united kingdom comenzó a recibir correos electrónicos con una oferta de «reembolso en efectivo». Los mensajes se dirigían a los clientes por nombre y se referían a números de pedidos anteriores y montos de pago vinculados a cada cuenta. Los correos electrónicos animaban a los destinatarios a hacer clic en un enlace para aceptar la oferta de devolución de efectivo, y el enlace se dirigía a un dominio identical que solicitaba información bancaria.

El mensaje de phishing dirigido que se envió a los clientes de classicfootballshirts.co.united kingdom este mes.

«Pronto quedó claro que los datos de los clientes relacionados con pedidos históricos se habían visto comprometidos para llevar a cabo este ataque», dijo Classicfootballshirts en una declaración sobre el incidente.

Allison Nixon, director de investigación de la empresa de inteligencia cibernética con sede en la ciudad de Nueva York Unidad221B, recordó lo que sucedió en las semanas previas al 22 de diciembre de 2020, cuando la compañía de billeteras de criptomonedas Libro mayor reconoció que alguien había revelado los nombres, direcciones postales y números de teléfono de 272.000 clientes.

Nixon dijo que ella y sus colegas notaron en los meses anteriores un gran aumento en los ataques de intercambio de SIM, un esquema en el que los estafadores engañan o sobornan a los empleados de las empresas de telefonía móvil para que redirijan los mensajes de texto y las llamadas telefónicas del objetivo a un dispositivo que controlan. Desde allí, los atacantes pueden restablecer la contraseña de cualquier cuenta en línea que permita restablecer la contraseña a través de SMS.

«Una semana o dos antes de eso, estábamos viendo una gran cantidad de actividad de intercambio de SIM», dijo Nixon. “Sabíamos que la información provenía de alguna base de datos, pero no pudimos averiguar qué servicio tenían todos en común. Después de que la base de datos de Ledger se filtró públicamente, comenzamos a buscar a las víctimas (de intercambio de SIM) y descubrimos que el 100 por ciento de ellas estaban presentes en la foundation de datos de Ledger «.

En un comunicado sobre la violación, Ledger dijo que los datos probablemente fueron robados en junio de 2020, lo que significa que los piratas informáticos tenían aproximadamente seis meses para lanzar ataques dirigidos utilizando información extremadamente detallada sobre los clientes.

«Si miras (en foros de ciberdelincuencia) el historial de personas que publican sobre esa base de datos de Ledger, verías que la gente la vendía de forma privada durante meses antes de eso», dijo Nixon. «Parece que esta foundation de datos se estaba filtrando cada vez más y más, hasta que alguien decidió eliminar gran parte de su valor al publicarlo todo públicamente».

A continuación, se ofrecen algunos consejos para evitar ser víctima de incesantes filtraciones de datos y esquemas de phishing cada vez más sofisticados:

Evite hacer clic en enlaces y archivos adjuntos en el correo electrónico, incluso en mensajes que parecen ser enviados por alguien de quien ha escuchado anteriormente. Y como demuestran los ejemplos de phishing anteriores, muchas de las estafas de phishing actuales utilizan elementos de bases de datos pirateadas para hacer que sus señuelos sean más convincentes.

La urgencia debería ser una bandera roja gigante. La mayoría de las estafas de phishing invocan un elemento temporal que advierte de las consecuencias negativas si no responde o actúa rápidamente. Tomar una respiración profunda. Si no está seguro de si el mensaje es legítimo, visite el sitio o el servicio en cuestión manualmente (lo perfect es utilizar un marcador del navegador para evitar posibles sitios con errores tipográficos).

No reutilice las contraseñas. Si eres el tipo de persona a la que le gusta usar la misma contraseña en varios sitios, definitivamente debes usar un administrador de contraseñas. Esto se debe a que los administradores de contraseñas se encargan de la tediosa tarea de crear y recordar contraseñas únicas y complejas en su nombre todo lo que necesita hacer es recordar una única contraseña maestra segura o una frase de contraseña. En esencia, puede utilizar la misma contraseña en todos los sitios internet. Algunos de los administradores de contraseñas más populares incluyen Dashlane, Keepass, Ultimo pase y Roboform.

–La suplantación de identidad basada en teléfonos también utiliza bases de datos pirateadas: Una gran cantidad de estafas se perpetran por teléfono, aprovechando la información own y financiera obtenida de violaciones de datos pasadas para hacerlas parecer más creíbles. Si cree que nunca se enamoraría de alguien que intenta estafarlo por teléfono, consulte esta historia sobre cómo un estafador que se hizo pasar por su cooperativa de crédito se llevó miles de dólares a un profesional experto en tecnología. Recuerde, en caso de duda: cuelgue, busque y devuelva la llamada.



Enlace a la noticia first