Cyber Monday: principales riesgos de ataques en el ecommerce y cómo empresas y personas pueden evitarlos
La actividad de los ciberatacantes aumenta en los períodos previos a compras intensas en línea -como los Cyber Monday, Navidad o el Día de la Madre- ya que saben que las personas serán más susceptibles a las ofertas recibidas por correo electrónico o redes sociales y tendrán más incentivos para comprar rápidamente. A medida que se acerca la temporada de ofertas, es importante revisar las principales formas en que se puede atacar a las empresas de ecommerce, las amenazas y las medidas que tanto los consumidores como las empresas pueden tomar para ayudar a mitigar esta amenaza.
Para que los ciberatacantes puedan utilizar los datos de las tarjetas comprometidas para defraudar a los sitios de comercio electrónico, los datos de las tarjetas deben ser robados en primer lugar. El propio comercio electrónico es un gran objetivo para estos datos por razones obvias: el volumen de datos de tarjetas y otra información personal que se introduce o almacena en estos sitios. En los últimos años, varios vectores de ataque diferentes han sido utilizados para atacar el comercio electrónico con el fin de robar información personal:
1. Container as a Service (CaaS):
CaaS se refiere a la venta del acceso a una empresa cuya seguridad ha sido vulnerada, donde la explotación del acceso es manejada por el comprador. Los ciberdelincuentes pueden optar por comprar el acceso a una empresa objetivo en lugar de violar la red/infraestructura ellos mismos. Si la empresa comprometida pertenece a la industria del ecommerce, otro ciberatacante con los conocimientos adecuados puede explotarla para desnaturalizar los datos de las tarjetas de pago y venderlos en la “dark web”.
El CaaS requiere tiempo, financiamiento y conocimientos técnicos para llevar a cabo los ataques necesarios; por lo tanto, estos adversarios tienden a ser más sofisticados. El equipo de Inteligencia en Ciberamenazas de Accenture iDefense ha rastreado varios ciberatacantes que venden este acceso comprometido. Lo cual puede lograrse de numerosas maneras, más comúnmente explotando sistemas con el Protocolo de Escritorio Remoto (RDP) vulnerable expuesto a Internet. El RDP se utiliza legítimamente para permitir que las personas controlen las máquinas de Windows a través de Internet, pero a menudo los delincuentes abusan de él.
2. Skimming virtual:
En los ataques de skimming virtual, el objetivo es robar la información de pago de los clientes introducida en los formularios de los sitios de comercio electrónico. La forma más notable de skimming virtual es una familia de malware conocida como Magecart. Los ataques Magecart inyectan código JavaScript malicioso en sitios web de comercio electrónico no seguros, o en aplicaciones de terceros utilizadas por sitios web de comercio electrónico. El ataque roba los datos a medida que se introducen en los formularios de entrada del usuario. En este escenario, los datos son robados antes de que puedan ser encriptados. Los atacantes de Magecart comprometieron varios sitios web de alto perfil en ataques dirigidos en 2018, pero como los cibercriminales han visto la facilidad con que pueden llevar a cabo estos ataques, han optado por el volumen sobre los sitios individuales, incluso llevando a cabo un ataque a la cadena de proveedores y apuntando a los servicios de computación en nube para infiltrarse en el mayor volumen posible de sitios de comercio electrónico.
3. Grupos organizados del delito electrónico
Una de las amenazas más notables de la delincuencia electrónica organizada dirigida al ecommerce es el grupo de amenaza FIN6. Se dirigen a los sistemas de puntos de venta (POS) de las industrias de retail y la hostelería, principalmente en Europa y los Estados Unidos. Una vez que tienen acceso, extraen los datos de la tarjeta y los venden en mercados clandestinos.
Según explicó Claudio Ordóñez, Líder de Ciberseguridad de Accenture Chile, “los ciberdelincuentes y los grupos organizados que atacan los datos de las tarjetas se están especializando cada vez más, y la colaboración entre ellos facilita los ataques más sofisticados y probablemente también hace más difícil la identificación de un solo adversario. Ante la continua proliferación de los ataques contra Magecart y similares y el precio al que los ciberdelincuentes siguen vendiendo el acceso a las redes de comercio electrónico comprometidas, Accenture iDefense evalúa que la infraestructura de la red de comercio electrónico seguirá siendo un objetivo primordial para algunos de los grupos de ciberdelincuentes más avanzados”.
Cómo es usada la data robada
1. Fraude de pago:
Los compradores de los datos de la tarjeta no pueden simplemente comprar una tarjeta robada y luego usarla para comprar; tanto los bancos emisores como las propias tiendas de comercio electrónico tienen diversas capacidades de detección de fraude y, por lo tanto, están constantemente en busca de métodos que permitan eludir estos controles. Estos métodos suelen compartirse en los foros de la dark web y suelen incluir consejos similares de seguridad operacional (OPSEC), con ajustes en función de la tarjeta que se utilice o del sitio al que se dirija.
2. Account Take Over (ATO)
La ATO se produce cuando un delincuente obtiene acceso a la cuenta de comercio electrónico de un cliente registrado. Una vez que un ciberatacante tiene acceso a una cuenta, su objetivo es realizar compras fraudulentas utilizando los datos de pago almacenados o los datos de pago robados de otro lugar. Algunos ciberdelincuentes se especializan en la recogida masiva y la reventa de credenciales robadas, lo que mejora y permite este tipo de ataque. Estos agentes utilizan herramientas para intentar ataques de “relleno de credenciales” contra cientos o miles de cuentas a la vez, utilizando los pares de credenciales existentes que han identificado en línea. Algunas de estas herramientas se construyen y venden para atacar sitios específicos.
Uno de los muchos sitios dedicados a la venta de credenciales comprometidas es Slilpp. En este sitio, los ciberatacantes anuncian la venta de información personal y credenciales comprometidas, muchas de las cuales pertenecen a sitios de comercio electrónico. Hay varios otros sitios como Slilpp que venden cantidades similares de datos.
A raíz de una multitud de grandes violaciones de datos en los últimos años, se ha producido un aumento significativo de los ataques ATO, que afectan en particular al comercio electrónico. Accenture iDefense evalúa que los ciberatacantes continuarán teniendo éxito en la ruptura de redes y la exfiltración de datos, sumándose a la ya enorme cantidad de PII comprometida ya disponible en la Red Oscura. Además, los ataques ATO son a menudo más fáciles de llevar a cabo en comparación con otros ciberataques. Por estas razones, Accenture iDefense evalúa que este tipo de ataque continuará creciendo como una amenaza para el comercio electrónico en el futuro cercano.
3. Fraude de reembolso:
El fraude de reembolsos abusa de las políticas de devolución para ganar dinero o mercancía. La investigación de Accenture iDefense encontró que los ciberatacantes tienen un gran apetito por usar el fraude de reembolsos dirigido a los sitios de comercio electrónico, tanto que ahora se proporciona “como un servicio”. Un dark web que ofrece este servicio describe cómo funciona el proceso.
Los pasos iniciales consisten en que el cliente pida los productos utilizando sus propios datos. Una vez que el cliente recibe el artículo, notifica al servicio de reembolso, y el sitio se encarga del resto. Al cliente se le cobra una tarifa, que generalmente se encuentra entre el 12 y el 30 por ciento del reembolso con un cargo mínimo de US$34. Accenture iDefense cree que el sitio de fraude de reembolsos utiliza una combinación de la información de inicio de sesión del cliente, el número de pedido y la dirección de correo electrónico del cliente para facilitar los reembolsos.
Ordóñez destacó que “a medida que los sistemas de detección de fraudes se vuelven más sofisticados, los criminales continúan recurriendo a la ingeniería social como una forma de explotar el factor humano. Las investigaciones de Accenture iDefense sugieren que este tipo de fraude requiere el conocimiento de cómo cada sitio maneja sus reembolsos, lo que ha llevado a la aparición de servicios de reembolso especializados en este campo, eliminando así esta barrera de entrada. Accenture iDefense evalúa, a partir de las críticas enormemente positivas (encontradas en foros de dark webs), que los ciberdelincuentes están más que dispuestos a pagar una cuota para que otra persona lleve a cabo el fraude y, por lo tanto, en el futuro aparecerán más servicios de este tipo”.
¿Qué se puede hacer?
La facilidad con la que se puede comprometer la información personal significa que siempre habrá “negocio” en la compra y venta de datos de tarjetas comprometidas; la cuestión para los ciberatacantes es cómo monetizar con éxito esos datos una vez que los hayan comprado. Accenture iDefense observa constantemente a los ciberatacantes discutiendo y compartiendo conocimientos sobre métodos para defraudar a los sitios de comercio electrónico que utilizan datos de tarjetas robadas y evalúa que seguirán haciéndolo.
Ante este Cyber Monday y el próximo período de Navidad, Accenture iDefense emite las siguientes pautas recomendadas tanto para los clientes del comercio electrónico como para las empresas para ayudar a mitigar esta amenaza:
Clientes:
Proteger todos los dispositivos contra el malware de robo de datos y estar atentos a los sitios de phishing y a los correos electrónicos de phishing.
Utilizar y actualizar regularmente el software antivirus.
Mantener actualizados los sistemas operativos, el software y los navegadores.
No involucrarse con URLs o correos electrónicos sospechosos.
Proteger las cuentas en línea mediante contraseñas sólidas y el uso de autenticación multifactorial (MFA). La contraseña fuerte básica recomendada tiene un mínimo de 8 caracteres e incluye una mezcla de números, caracteres especiales, mayúsculas y minúsculas.
Utilizar tarjetas de crédito o aplicaciones de pago siempre que sea posible. Las tarjetas de crédito ofrecen una mayor protección al consumidor en caso de fraude. Las aplicaciones de pago como Apple Pay, Samsung Pay, Google Pay, PayPal y Venmo añaden una capa extra de seguridad al enmascarar el número de la tarjeta, la fecha de caducidad y el código CVV.
Empresas:
Emplear un enfoque holístico y en capas para la seguridad de la red. En particular, recomendamos asegurar los sistemas de puntos de venta (POS) para proteger los datos de las tarjetas, y limitar el uso de RDP para evitar el compromiso de la red.
Llevar a cabo evaluaciones de seguridad exhaustivas en aplicaciones e infraestructuras de terceros para ayudar a mitigar los ataques a la cadena de suministro.
Implementar un sistema de detección de fraudes para identificar actividades sospechosas. Además de la supervisión de las transacciones, considerar la posibilidad de cambiar el enfoque a la supervisión de la identidad, la sesión y el comportamiento para evaluar el riesgo antes de una transacción.
Establecer una línea de base de la actividad conocida de ATO para determinar las vías comunes de compromiso de la cuenta. Entonces se pueden implementar tácticas de detección o prevención, tales como hacer cumplir la autenticación de múltiples factores.
Crear una política estricta de devoluciones. Asegurarse de que el personal esté debidamente capacitado, tener cuidado con las devoluciones por omnicanal (compra en línea y devolución en tienda) y devolver los fondos al mismo método de pago utilizado originalmente.