Si pudieras entrar en la mente de los hackers y entender sus tácticas, podrías saber cómo llevan a cabo el robo de datos de acceso y ajustar tu postura de seguridad en consecuencia.
Dependiendo de sus habilidades y sus recursos económicos, y frente a los niveles de protección implementados por la organización, los ciberdelincuentes utilizarán diferentes métodos para robar datos o credenciales..
Hoy te mostramos cuales son los métodos más utilizados para robar tus datos de acceso.
MÉTODOS DE ROBO DE DATOS DE ACCESO O CREDENCIALES MÁS UTILIZADOS
1. PHISHING
El método de phishing es una técnica que se basa en el eslabón más débil de la cadena de ciberseguridad: el usuario final.
Usando métodos de ingeniería social, donde las víctimas son engañadas por un correo electrónico o un enlace malintencionado, o manipuladas psicológicamente donde se aprovecha su inclinación natural a confiar. La ingeniería social es la manipulación psicológica de las víctimas.
Las campañas de phishing enfocadas en el consumidor son bastante fáciles de detectar para un ojo entrenado. Sin embargo el robo de datos de acceso corporativos suele representar un esfuerzo mucho más específico, conocido como Spear phishing.
Los ciberdelincuentes invierten una gran cantidad de recursos en la investigación de su objetivo.
Por ejemplo, la identificación de usuarios finales específicos en las redes sociales cuyas credenciales les ayudarán a lograr su objetivo.
Antes de crear correos electrónicos sofisticados o sitios web que son mucho más difíciles de distinguir del sitio legítimo. A menudo, los atacantes registrarán un dominio similar a su objetivo para no despertar sospechas. Los ataques de suplantación de identidad más avanzados son los que se realizan en tiempo real, que pueden incluso burlar mecanismos de doble o múltiples factores de autenticación y tokens.
En el caso del robo de datos de acceso bancarios, por ejemplo, los delincuentes cibernéticos utilizan paneles de control especiales para enviar un mensaje a la víctima después de insertar sus credenciales, lo que les pide que ingresen detalles adicionales que luego se recopilan.
Aún más exitosos son los paneles de control que cambian dinámicamente el mensaje de las páginas de phishing en función de la respuesta de las víctimas.
2. MALWARE
Muchas organizaciones tienden a almacenar sus datos de acceso en las computadoras, utilizando bóvedas de navegadores o archivos de configuración, mientras que las aplicaciones como el correo electrónico utilizan sus propios métodos para almacenar las contraseñas de forma “segura”. Pero éstas son vulnerables.
Los programas ladrones aprovechan esto e intentan recopilar nombres de usuario y contraseñas de estas ubicaciones y enviarlos al panel de control (Command & Control, C2 o C&C).
LOS TIPOS DE INFORMACIÓN QUE BUSCAN LOS PROGRAMAS PARA EL ROBO DE DATOS DE ACCESO SON BASTANTE VARIADOS, PERO LA MAYORÍA BUSCA:
- Contraseñas, cookies y certificados almacenados por los navegadores web.
- Credenciales almacenadas por aplicaciones: FTP, correo, SSH, Telnet, VPN, RDP, mensajería instantánea, juegos, intercambios de criptomonedas, etc.
- Carteras de criptomoneda
- Datos del portapapeles
- Capturas de pantalla y grabaciones de pantalla / webcam.
- Tráfico HTTP / HTTPs
Estas credenciales pueden almacenarse en texto plano, pero también puede ser que estén cifradas. Sin embargo, algunos programas ladrones pueden descifrar estos archivos y extraer credenciales.
Los keyloggers también son una gran amenaza: son capaces de robar contraseñas a medida que se escriben.
El código malicioso recopila todas las pulsaciones de teclado y las almacena en el disco, además de agregar contexto, como los procesos en ejecución específicos o el título de la ventana desde donde se robaron las claves.
Por lo general, se almacena localmente en el sistema infectado antes de enviarse posteriormente al panel de control malicioso.
<< También te puede interesar: 7 cosas que hacen los hackers con las contraseñas robadas. >>
3. FORM-GRABBING
El objetivo es recopilar los datos de formularios enviados por el usuario mediante un navegador web y enviarlos al panel de control malicioso.
La técnica de form-grabbing puede robar una cantidad impresionante de datos, tal como las credenciales de todo tipo de servicios en línea.
Todos estos datos terminan en las bases de datos de botnets, que deben ser capaces de almacenarlos e indexarlos de manera eficiente para que los administradores puedan buscar credenciales específicas.
Otros tipos de malware, como puertas traseras o troyanos de acceso remoto (RAT) podrían no exfiltrar credenciales directamente, sino que podrían ayudar a los atacantes a realizar ataques dirigidos para realizar violaciones de datos.
En comparación con los ataques de phishing, la mayoría de las infecciones de malware requieren un mayor conocimiento y recursos importantes para implementarse con éxito, pero aún es posible comprar kits baratos para lanzar un ataque.
4. ATAQUES MAN-IN-THE-BROWSER
Se pueden recopilar credenciales de varias formas, muchas de las cuales dependen de la explotación de vulnerabilidades técnicas. Otros ataques son el resultado de monitorear y apuntar a los canales de comunicación del usuario.
El modus operandi de un attaque de tipo Man-in-the-Browser es actuar como un proxy entre la víctima y el servicio legítimo al que el usuario desea acceder, ya sea modificando la comunicación entre las partes o monitoreando pasivamente las comunicaciones.
Estos ataques pueden tener lugar a nivel de red al capturar el tráfico de red o redirigirlo. Los lugares típicos donde ocurre este tipo de ataque incluyen puntos de acceso WiFi falsos (también conocidos como “Evil Twins”), cibercafés o computadoras ubicadas en lugares públicos como bibliotecas, cafeterías, etc.
5. VULNERABILIDADES DE SISTEMA Y DE SITIO WEB PARA ROBO DE DATOS DE ACCESO
Si bien las infecciones de malware son uno de los vectores de ataque más importantes, los sistemas vulnerables o mal configurados también ofrecen una puerta abierta a los delincuentes cibernéticos.
A menudo, los atacantes escanean Internet para encontrar blancos fáciles que puedan comprometer. En la mayoría de los casos, buscan vulnerabilidades conocidas o sistemas mal configurados.
Cuando apuntan al sitio web vulnerable, intentan generalmente explotar las vulnerabilidades SQL y las fallas de seguridad que les permiten ejecutar código, leer el código fuente y cargar o modificar archivos.
Una vez adentro de la infraestructura, se pueden usar técnicas de movimiento lateral para maximizar el impacto de la brecha, recolectando credenciales.
Las bases de datos son de alto riesgo, ya que pueden contener una gran cantidad de credenciales para múltiples usuarios, ya sean empleados, clientes o terceros.
6. ATAQUES DE FUERZA BRUTA Y DICCIONARIO
Los ataques de fuerza bruta intentan adivinar contraseñas válidas, obtener acceso a una red y cosechar credenciales.
Un ataque de fuerza bruta es un intento de descubrir una contraseña al intentar sistemáticamente cada combinación posible de caracteres hasta que la combinación correcta permita el acceso.
Varios usuarios siguen utilizando contraseñas fáciles y comunes como “12345”, “admin” o “password”.
A medida que se encuentran más bases de datos filtradas en Internet o en foros clandestinos, es común ver a los atacantes intentar reusar las credenciales para iniciar sesión en diferentes servicios en línea.
Una herramienta de ataque que se está volviendo cada vez más frecuente es el verificador de cuenta, que prueba listas de credenciales ya comprometidas en su sitio web.
El uso de servicios de inteligencia de amenazas puede reducir significativamente el daño causado por el robo de credenciales.
Ahora que ya conoces cuáles son los métodos más utilizados para el robo de datos, protege tu información y la de tu empresa.
2 comentarios en “ROBO DE DATOS DE ACCESO: LAS 6 PRINCIPALES CIBERAMENAZAS”
Pingback: Evita la técnica bumping, la más empleada por los ladrones
Pingback: 5 Consejos de seguridad de primavera para tu hogar