Cómo funcionan los ataques de Credential Stuffing y cómo prevenirlos

Los ataques de relleno de credenciales representan un riesgo significativo para los consumidores y las empresas. Aprende cómo funcionan y qué puedes hacer con ellos.

No faltan las amenazas en Internet que ponen en riesgo a los usuarios finales y mantienen ocupados a los profesionales de ciberseguridad y TI. El relleno de credenciales es un riesgo que puede representar un gran peligro para los consumidores y los empleados comerciales.

Mirar: Lista de verificación: evaluación de riesgos de seguridad (Descarga premium de Tecnopedia)

Yo y Sumit AgarvalCo-fundador y COO forma de seguridad, una organización de ciberseguridad sobre el concepto. Agarwal se desempeñó como subsecretario adjunto de defensa durante la presidencia de Obama.

Scott Mattson: Acuñó el término «relleno de credenciales» cuando estuvo en el Pentágono en 2011. ¿Qué es el relleno de credenciales?

Sumit Agarval: Así es. Durante mi mandato como Subsecretario Adjunto de Defensa, observé ataques cibernéticos muy sofisticados que afectaban sitios web militares disponibles públicamente. Me doy cuenta de que es solo cuestión de tiempo antes de que estos ataques afecten las cuentas en línea de la gente común. Llamo a estos ataques maliciosos «relleno de credenciales».

Credential Stuffing es el armamento de credenciales robadas (nombres de usuario y contraseñas) contra sitios web y aplicaciones móviles. Una lista de credenciales robadas de un sitio web se compara con las páginas de inicio de sesión de otros sitios web para obtener acceso no autorizado a cuentas por fraude.

El aspecto más llamativo del Credential Stuffing es que una empresa determinada no tiene por qué verse comprometida por el Credential Stuffing. La vulnerabilidad solo tiene un formulario de inicio de sesión y tiene el usuario.

Los ciberdelincuentes tienen más de 15 000 millones de pares de credenciales robados. Los delincuentes pueden robar las credenciales ellos mismos o, más probablemente, comprarlas en la dark web.

Scott Mattson: ¿Como funciona?

Sumit Agarval: La mayoría de los consumidores reutilizan nombres de usuario y contraseñas en diferentes aplicaciones web y móviles. Esto se utiliza con fines de relleno de credenciales.

Primero, analicemos la causa raíz del problema: los consumidores están inmersos en las complejidades de la seguridad. Después de muchos, muchos años de consejos sobre la complejidad de las contraseñas (mayúsculas, minúsculas, números, caracteres especiales, etc.), los consumidores respondieron eligiendo solo unas pocas contraseñas que cumplían con todos estos requisitos de complejidad y luego reutilizándolas en muchos sitios. contraseñas

Si bien esto es malo desde una perspectiva de seguridad, es comprensible. Cuando las grandes corporaciones exigen demasiado de los consumidores, responden encontrando formas de simplificar sus vidas. Entonces, ese es el trasfondo del relleno de credenciales: mucha complejidad de contraseña, muchos consumidores sobreviven creando algunas contraseñas compatibles y luego reutilizándolas en un promedio de más de 30 cuentas.

A continuación, es importante comprender que el relleno de credenciales y otros ataques automatizados contra aplicaciones web y móviles son una actividad económica de los ciberdelincuentes. Operan como empresas, luchan por márgenes de beneficio específicos y han desarrollado todo un complejo industrial clandestino para respaldar sus ataques criminales.

El relleno de credenciales es un ataque volumétrico: los atacantes saben que disfrutarán de una tasa de éxito de 1 en 100+ (esto puede sonar bajo para la persona promedio, pero si multiplica las credenciales de 10 millones de intentos, eso produce 10,000 adquisiciones de cuentas exitosas, que son bien valen $ 100 a $ 1,000 cada uno).

Para servir a los objetivos económicos de los atacantes criminales, el complejo industrial del crimen desarrolló tres elementos para potenciar sus ataques:

• cupón barato, a menudo robados a través de violaciones masivas de datos y luego vendidos a delincuentes en la web oscura. enero 2023, Miles de millones de credenciales robadas publicadas en la web oscura para descargas gratuitas en un caché llamado Colecciones 1 a 5.

• Herramientas de atacante especialmente diseñadas o herramientas de control de calidad reutilizadas Automatice el proceso de credenciales de inicio de sesión de ametralladoras en aplicaciones web y móviles.Un kit de relleno de credenciales de muestra incluye Centinela MBA, wget, ondulado, Fantasma JS, selenio y SikuriLa mayoría de los kits de ataque son gratuitos o de muy bajo costo y también ofrecen perfiles preconstruidos para personalizar el ataque para sitios y aplicaciones populares específicos por tan solo $50 por sitio.

• Botnets y otra infraestructura de red simuladapor lo que el tráfico de ataque parece originarse orgánicamente a partir de usuarios reales en regiones geográficas «normales» (como el oeste de EE. UU.), en lugar de una sola dirección IP en Ucrania o Filipinas.

La automatización proporcionada por estos componentes es clave para el modelo económico de Credential Stuffing.

Shape supera la economía de los ciberdelincuentes, lo que hace que sea prohibitivamente costoso para los delincuentes mantener el relleno de credenciales y otros ataques automatizados en sitios web protegidos y aplicaciones móviles.

Scott Mattson: ¿Cuáles son los objetivos y motivaciones detrás de esto?

Sumit Agarval: Ganancia financiera a través de robo, fraude y engaño.Un estudio estima que el cibercrimen 1,5 billones de dólares en ingresos en 2023Esta es toda una economía sumergida más grande que muchos estados-nación legítimos.

Scott Mattson: ¿Dónde es más frecuente esta amenaza?

Sumit Agarval: Como actividad económica, los ciberdelincuentes atacan donde está el dinero. Estas amenazas son más frecuentes en los grandes verticales B2C, incluidos los servicios financieros, el comercio minorista y el comercio electrónico, los viajes y la hospitalidad, las telecomunicaciones, los medios de comunicación, el gobierno, las redes sociales y el entretenimiento.

Scott Mattson: ¿Quién está detrás de la amenaza?

Sumit Agarval: Los ciberdelincuentes están detrás de la amenaza. Por lo general, estos delincuentes operan fuera de los Estados Unidos y prevalecen en los países en desarrollo.

Scott Mattson: ¿Cómo deben protegerse las empresas de él?

Sumit Agarval: Aquí hay cuatro cosas que las empresas pueden hacer ahora mismo para protegerse:

1. Tenga en cuenta que si su aplicación web o móvil brinda la oportunidad de comprar o intercambiar algo de valor, es posible que esté en riesgo o que ya esté bajo ataque.

2. Supervise las métricas de su negocio en busca de signos de que haya experimentado el relleno de credenciales u otros ataques automatizados, incluidas tasas de éxito de inicio de sesión bajas o decrecientes, tasas altas de restablecimiento de contraseña o tasas de conversión de éxito de tráfico bajas.

3. Analice los patrones de tráfico por hora de sus inicios de sesión y otras URL explotables para comprender los picos de tráfico o el tráfico fuera del horario normal humano en su mercado: los usuarios reales duermen, los ataques automáticos no.

4. Reúna a los equipos de seguridad de la información, fraude y digital en una sala para analizar la posibilidad de ataques automatizados, las tendencias actuales de fraude y las métricas digitales.