Saltar al contenido
computerg

🥇 Evite Los Ataques De Credenciales Jam Con El Análisis Del Costo De Los Ataques

septiembre 11, 2021

Todas y cada una las compañías se guían por un análisis de costos y beneficios de su trabajo. Lo mismo ocurre con los estafadores on-line motivados por el dinero. Para operar de forma rentable, los ciberdelincuentes deben diseñar sistemas que produzcan más dinero del que gastan en efectuar ataques.

Sobre el Autor

Carlos Asunción, Directivo de Ingeniería de Soluciones, Shape Security en F5.

2 factores clave influyen en este cálculo: el costo de las operaciones y el panorama variable de la ciberseguridad. Y los costos están bajando de forma rápida, lo que quiere decir que los piratas informáticos pueden gastar unos cientos y cientos de dólares americanos para lanzar ataques con el potencial de extraer millones de dólares americanos.

Como resultado, vemos que el relleno de credenciales se está transformando en un procedimiento de fraude on-line poco a poco más popular y prevalente. En verdad, una investigación de F5 Labs y Shape Security notificó últimamente que los incidentes de filtraciones de credenciales prácticamente se duplicaron entre dos mil dieciseis y dos mil veinte.

Completar identificadores

El relleno de credenciales implica que los piratas informáticos adquieran nombres de usuario y claves de acceso a costos bajísimos (en ocasiones de manera gratuita) de fuentes de simple acceso. Entonces, usan software adaptado o bien estándar para mecanizar el proceso de comienzo de sesión en millones de cuentas de usuario en cientos y cientos de sitios.

Lo hacen con la esperanza de que, por poner un ejemplo, la clave de acceso de Fb de alguien pueda marchar como una identificación de cuenta de ISP o bien aun una identificación de cuenta corriente. El tráfico se distribuye globalmente para eludir sospechas, y con otra pequeña inversión, los piratas informáticos asimismo pueden vencer las defensas automatizadas básicas como la prueba CAPTCHA (Turing público totalmente automatizado) a través de la subcontratación a complementos o bien servicios de resolución CAPTCHA.

En Shape Security, estimamos que el costo de cien,000 intentos de toma de control de cuenta es de cerca de € doscientos, incluyendo el software preciso, los proxies de red y las credenciales robadas. Las tasas de éxito en general cambian de 0,dos a 2%. Las adquisiciones triunfantes entonces se venden en múltiples foros de discusión y mercados por entre € dos y € ciento cincuenta, lo que equivale a un retorno de entre cien y ciento cincuenta,000% o bien aun más. Esto representa un desempeño financiero de entre € doscientos y € trescientos cero y más.

Desafortunadamente, muchas organizaciones aún se enfocan con fuerza en combatir los ataques de bots utilizando direcciones IP o bien el bloqueo de la cadena de Usuario-Agente, que de forma rápida se transforma en un juego de Whack-a-Mole que provoca ansiedad y es inútil. En cambio, la atención debe centrarse en suprimir la propuesta de valor que deja a los atacantes agredir sus propiedades digitales.

Fijación de costos a los defraudadores de quiebras

Para las compañías, esto significa actualizar sus defensas hasta tal punto que resulta demasiado costoso para los piratas informáticos vencerlas. Un delincuente del planeta real siempre y en toda circunstancia va a apuntar a una ventana abierta en vez de adquirir herramientas costosas para forzar la cerradura de una puerta sólida. Las reglas son exactamente las mismas para las propiedades virtuales.

El mejor procedimiento es incorporar una serie de medidas que fuercen a los estafadores a regresar a las costosas etapas de sus ataques. Si esto sucede con demasiada frecuencia, el análisis de costo-beneficio se desvía y el gasto acaba superando cualquier retorno potencial. David Bianco introdujo un término en dos mil trece llamado Pyramid of Pain y es cierto tratándose de atenuar los ataques de interferencia de credenciales con eficiencia en un largo plazo.

Participar en Whack-a-Mole con direcciones IP y cadenas de Usuario-Agent, que están en la parte inferior de la pirámide, es inútil. Es mejor concentrar los sacrificios más arriba en la pirámide y atenuar las herramientas y los TTP de los estafadores (tácticas, técnicas y procedimientos). En otras palabras, frustra de forma continua a tu contrincante y oblígalo a ir a otra parte.

Plan de 3 puntos

Para hacerlo bien, debe descubrir qué coste tiene verdaderamente agredir sus propiedades web y móviles. Si no sabe qué coste tiene, no sabe qué género de fricción y prohibición poner en práctica. En el momento en que haya hecho eso, es hora de iniciar un plan de 3 puntos.

Primero, corrija los puntos enclenques verificando la exposición de su red para suprimir todas y cada una de las frutas a mano. Esto crea una barrera mínima que los atacantes deben superar. Por servirnos de un ejemplo, analice las páginas de autentificación de sus aplicaciones web y asegúrese de no suministrar comentarios superfluos que puedan ser útiles para los estafadores. Un caso común acá son las páginas de restablecimiento de clave de acceso.

Decir algo como «lo siento, esta cuenta no existe, inténtalo nuevamente» realmente ayuda a los estafadores. Les afirma qué cuentas son válidas en su lugar y cuáles no, mejorando la precisión y eficiencia de cualquier ataque siguiente de relleno de credenciales. Un mensaje de mejor contestación sería “Hemos recibido su petición de restablecimiento de clave de acceso. Si esta cuenta existe, se le mandará un e mail para restituir la clave de acceso ”.

Entonces, realice pruebas de penetración en las aplicaciones web y móviles de su organización para entender qué tan simple o bien bastante difícil es comprometerlos para cometer fraude. Este proceso ha de estar guiado por pruebas y no por corazonadas. Esto le va a ayudar a crear una caja de herramientas de defensa que refleje los intentos probables de cancelar sus medidas de seguridad.

Recuerde que los postes de la portería siempre y en toda circunstancia están en movimiento. Con las herramientas libres para los criminales que mejoran cada día, el tercer paso es actualizar y actualizar de forma regular sus controles de seguridad para sostenerse al día con el panorama de peligros en incesante cambio. Esto puede incluir que los analistas de seguridad (internos o bien por contrato) se pongan los sombreros colorados de su equipo para estar al corriente de los últimos vectores y herramientas de ataque discutidos en la página web obscura y los foros de discusión de fraude. Bug Bounties asimismo puede ser una solución para identificar brechas de control o bien nuevas formas de evitar los controles existentes antes que los estafadores puedan hallarlos y abusar de ellos.

Recuerde, el relleno de credenciales es económico y simple, con lo que tiene un enorme sentido económico para los estafadores que se embolsan millones todos los años del crimen. ¡No se lo ponga simple!


Source link