[Octubre ciberseguridad] Api, rellenos de contraseñas, códigos QR: los ciberataques se diversifican constantemente

Un ciberataque es cualquier tipo de acción ofensiva que tenga como objetivo los sistemas de información, infraestructuras, redes informáticas o dispositivos informáticos personales, utilizando varios métodos para robar, alterar o destruir datos o sistemas de información. Los ataques de relleno de credenciales son una preocupación clave por una buena razón. Las infracciones de alto perfil, […]

Un ciberataque es cualquier tipo de acción ofensiva que tenga como objetivo los sistemas de información, infraestructuras, redes informáticas o dispositivos informáticos personales, utilizando varios métodos para robar, alterar o destruir datos o sistemas de información.

Los ataques de relleno de credenciales son una preocupación clave por una buena razón. Las infracciones de alto perfil, como las de Equifax y LinkedIn, por nombrar dos de muchas, han resultado en miles de millones de credenciales comprometidas flotando en la web oscura, alimentando una industria clandestina de actividad maliciosa. Desde hace varios años, alrededor del 80% de las infracciones que han resultado de la piratería han involucrado contraseñas robadas y / o débiles.

Akamai determinó que tres cuartas partes de los ataques de abuso de credenciales contra la industria de servicios financieros en 2019 estaban dirigidos a API. Muchos de esos ataques se llevan a cabo a gran escala para abrumar a las organizaciones con millones de intentos de inicio de sesión automatizados.

La mayoría de las amenazas a las API van más allá del relleno de credenciales, que es solo una de las muchas amenazas a las API según se define en el Top 10 de seguridad de API de OWASP de 2019 . En muchos casos, no están automatizados, son mucho más sutiles y provienen de usuarios autenticados.

Las API, que son esenciales para un número creciente de aplicaciones, son entidades especializadas que realizan funciones particulares para organizaciones específicas. Alguien que explote una vulnerabilidad en una API utilizada por un banco, minorista u otra institución podría, con un par de llamadas sutiles, volcar la base de datos, vaciar una cuenta, causar una interrupción o hacer todo tipo de daños que afecten los ingresos y la reputación de la marca.

Un atacante ni siquiera tiene que colarse necesariamente. Por ejemplo, podría iniciar sesión en Disney + como un usuario legítimo y luego hurgar en la API en busca de oportunidades para explotar. En un ejemplo de un enfoque de puerta de entrada, un investigador encontró una vulnerabilidad de API en el sitio de desarrolladores de Steam que permitiría el robo de claves de licencia de juegos. (Afortunadamente para la empresa, lo informó y fue recompensado con $ 20,000).

La mayoría de los ataques de API son muy difíciles de detectar y de defenderse, ya que se llevan a cabo de forma clandestina. Debido a que las API son en su mayoría únicas, sus vulnerabilidades no se ajustan a ningún patrón o firma que permita aplicar controles de seguridad comunes a escala. Y el daño puede ser considerable, incluso proveniente de una sola fuente. Por ejemplo, un atacante que explote una debilidad en una API podría lanzar un ataque DoS exitoso con una sola solicitud.

Códigos QR ofrecen un menú de problemas de seguridad

Los códigos de respuesta rápida (QR) están ganando popularidad y los piratas informáticos están explotando esta la tendencia. Peor aún, según un nuevo estudio, la gente ignora en su mayoría cómo se puede abusar fácilmente de los códigos QR para lanzar ataques digitales.

La razón por la que el uso de códigos QR se está disparando está vinculada a que más empresas físicas están renunciando a folletos, menús y folletos en papel que podrían acelerar la propagación de COVID-19. En cambio, están recurriendo a los códigos QR como alternativa.

MobileIron advierte que estos códigos QR pueden ser maliciosos. En un estudio publicado, las empresas de gestión de dispositivos móviles encontraron que el 71 por ciento de los encuestados dijeron que no pueden distinguir entre un código QR legítimo y malicioso.

Los códigos QR – el «QR» es la abreviatura de «respuesta rápida» – permite al usuario escanear un código especial con la cámara de su teléfono para realizar una acción automáticamente. Estos accesos directos generalmente abren un sitio web, pero se pueden programar para realizar cualquier cantidad de acciones móviles, como redactar correos electrónicos, realizar llamadas, abrir material publicitario de marketing, abrir una ubicación en un mapa e iniciar automáticamente la navegación, abrir una página de perfil de Facebook, Twitter o LinkedIn. o iniciar cualquier acción desde cualquier aplicación (como abrir PayPal con un identificador de pago preestablecido).

Estafas QR

Los códigos QR son códigos de barras bidimensionales, o realmente códigos matriciales, que se utilizan para codificar información digital arbitraria. Una subsidiaria de Toyota creó códigos QR para rastrear vehículos durante el proceso de fabricación. Pueden codificar hasta 7.089 caracteres numéricos, 4.296 caracteres alfanuméricos o 2.953 bytes de datos de 8 bits. Se utilizan con frecuencia para codificar URL. 

 Estafadores se acercan a las posibles víctimas y las entablan conversación como compradores en caso de que uno ponga información en un sitio de compra / venta en línea. Se hacen pasar por compradores genuinos y comparten el código QR para pagar un anticipo o una cantidad simbólica.

Luego crean un código QR con una cantidad mayor y lo comparten con la víctima prevista a través de WhatsApp o correo electrónico. En su mayoría, usan WhatsApp para compartir el código. También pueden involucrar a la víctima en una conversación para confundirla.

Después de compartir el código QR, los estafadores les piden a sus víctimas que seleccionen la opción «Escanear código QR» en la aplicación y seleccionen el código QR de la galería de fotos. Después de escanear el código QR de la galería de fotos, se insta a la víctima a que proceda con el pago.

Una vez que se hace clic en la opción ‘continuar’, se le pide a la víctima que ingrese el PIN UPI y en el momento en que se hace, se deduce el dinero de la cuenta bancaria de la víctima.