Formjacking – La nueva amenaza invisible del ciberespacio

Formjacking – La nueva amenaza invisible del ciberespacio

por | Nov 28, 2019 | Seguridad de la información

La Navidad está a la vuelta de la esquina y desgraciadamente algunas personas perderán su espíritu navideño. Cuando millones de personas se conectan a Internet para comprar regalos existe una trampa latente. Estamos hablando de la nueva amenaza invisible en Internet: Formjacking, también conocido como e-skimming. Los hackers están pirateando tiendas online, secuestrando datos bancarios y de tarjetas de crédito. El cliente desprevenido y la compañía afectada ni siquiera lo notan; todo va como de costumbre. El comprador recibe su producto y la empresa el pago, pero en segundo plano los ciberdelincuentes se conectan a la información secreta del pago. Sólo a posteriori, despertamos en la triste realidad: personas desconocidas han hecho grandes cantidades de compras a expensas del titular de la tarjeta.

 

La BKA y el FBI advierten

 

En su nuevo Informe de gestión federal sobre la ciberdelincuencia, la BKA (Oficina Federal de Investigación Criminal en Alemania) confirma que el año anterior se produjo un gran aumento del número de casos de secuestro durante el negocio navideño. El FBI también emitió recientemente una advertencia en el contexto del mes de la Seguridad Cibernética de Estados Unidos en 2019, en particular a las pequeñas y medianas empresas que ofrecen pagos con tarjeta de crédito en línea3. A menudo sus métodos de defensa son menos sofisticados y, por lo tanto, son particularmente vulnerables a los ataques. El malware infiltrado permanecerá también sin ser detectado en sus sistemas durante más tiempo.

Con mayor frecuencia, las empresas más grandes están en el punto de mira. Uno de los casos más espectaculares ocurrió en septiembre de 2018, cuando British Airways perdió más de 380.000 datos de tarjetas de crédito de clientes, debido a una página de reservas infectada. Es probable que este ataque haya hecho ganar a los hackers varios millones de dólares. Por su parte, British Airways no sólo sufrió una inmensa pérdida de confianza, sino que también se enfrenta a una posible multa de 230 millones de dólares a causa de medidas de seguridad inadecuadas, es la mayor multa hasta la fecha desde la entrada en vigor de GDPR.

 

¿Cómo funciona el Formjacking?

 

El término «formjacking» es una combinación de «online form» y «hijacking» y describe básicamente la versión digital del conocido skimming, en el que los estafadores preparan la ranura de tarjetas en los cajeros automáticos con su propio lector de tarjetas. El código PIN se espiará simultáneamente con cámaras pequeñas y la tarjeta bancaria se puede duplicar con los datos recogidos.

Un secuestro similar tiene lugar en el ciberespacio. En el ataque se crea una página web con un código malicioso, generalmente pequeños JavaScripts ocultos. Según el FBI, los hackers suelen conseguirlo mediante la suplantación de identidad (phishing) y el envío de correos electrónicos maliciosos a empleados o proveedores vulnerables de terceros, cuyas aplicaciones tienen acceso al entorno de servidores de una empresa. Una vez que el código malicioso ha sido implementado, los datos de la tarjeta de crédito pueden ser capturados en tiempo real tan pronto como el cliente los introduce en el sitio web de la tienda.

Los ciberdelincuentes utilizan la valiosa información para ir de compras o venderla en Darknet. Según un estudio de la agencia de crédito estadounidense Experian, un número de tarjeta de crédito con un código de seguridad se vende en el mostrador digital por unos 5 dólares estadounidenses. Los datos de acceso de proveedores de servicios de pago como Paypal pueden incluso ganar alrededor de 20 dólares estadounidenses.

Formjacking

¿Quién está detrás de los ataques?

 

El formjacking pertenece a los llamados ataques man-in-the-middle, en los que los atacantes se posicionan de forma inadvertida entre los partners de comunicación que utilizan malware. ¿Pero quiénes son los desconocidos? Por lo general, no se puede asignar claramente, pero el nombre de Magecart aparece una y otra vez en relación con los incidentes, como en el caso de British Airways descrito al principio. Se trata de un término genérico que describe las actividades de al menos siete grupos de hackers que utilizan malware parecido en ataques orquestados de forma similar. Los grupos Magecart no se limitan a una plataforma específica de tiendas online en el marco de sus guardias. Además, se ha observado que algunos ciberdelincuentes se especializan en servicios de terceros, como los widgets de chat en vivo.

 

¿Cómo puedes protegerte?

 

No es posible que el cliente detecte y prevenga el formjacking durante las compras online porque las páginas infectadas no se ven modificadas. Por lo tanto, es aconsejable limitar las compras a las grandes tiendas que, a diferencia de los pequeños sitios web de comercio electrónico, están equipados con sistemas de seguridad más amplios. Las tarjetas de crédito también deben tener un segundo nivel de defensa en forma de 3D Secure. Por ejemplo, ninguna transacción es posible sin un código TAN enviado al smartphone.

Pero la verdadera responsabilidad de prevenir los ataques de e-skimming recae en las empresas. Es necesario que actualicen sus sistemas de seguridad. El objetivo es mantener las puertas de entrada cerradas al malware, por ejemplo: en forma de correos maliciosos con amplias medidas de protección.

Formjacking se centra actualmente en el robo de datos de tarjetas de crédito, pero en principio puede ser utilizado para conseguir cualquier tipo de datos que se capturan a través de formularios online. Por lo tanto, la expansión del fraude es más que probable.

 

Más información:

 

Infraestructuras críticas – probablemente el punto más vulnerable de un país

Infraestructuras críticas – probablemente el punto más vulnerable de un país

por | Ago 2, 2019 | Security Informationen, Seguridad de la información

¿Qué pasaría si nos quedáramos sin electricidad? Los alimentos y los medicamentos esenciales ya no se podrían enfriar, las máquinas que mantienen la vida de los pacientes en los hospitales dejarían de funcionar, las luces se apagarían y las calles se hundirían en el caos. Un escenario que parece inimaginable. Los ciberdelincuentes se centran cada vez más en las instalaciones vulnerables que constituyen la base del bien común: las infraestructuras críticas.

El presidente de BSI, Arne Schönbohm, también ve a los operadores de las centrales hidroeléctricas nacionales o, por ejemplo, a la industria farmacéutica cada vez más en el centro de los ataques cibernéticos profesionalizados. ¿Por qué? La manipulación de los procedimientos operativos en estos sectores económicos podría poner en riesgo a la población. Las medidas de protección de TI interna deben tener una alta prioridad.

A continuación, echamos un vistazo a las infraestructuras críticas y damos una visión de las enormes consecuencias que un ataque cibernético puede tener en estas organizaciones tan sensibles.

 

Una cuestión crítica

 

Las infraestructuras críticas incluyen organizaciones o instituciones que desempeñan un papel importante para la comunidad. Proporcionan servicios o productos de los que dependen tanto los consumidores como las empresas. Estos incluyen instalaciones en los sectores de energía, TI y telecomunicaciones, salud, agua, alimentación, transporte, finanzas y seguros, gobierno y administración, medios de comunicación y cultura.

Las infraestructuras críticas se consideran especialmente sensibles en lo que respecta a su infraestructura de TI, por lo que el gobierno quiere protegerlas, especialmente con la ley de seguridad de TI que entró en vigor en julio de 2015. Por lo tanto, los operadores deben informar de los fallos de sus sistemas informáticos y permitir que se comprueben periódicamente. La mencionada sensibilidad de los sistemas se deriva del hecho de que la mayoría de ellos ya se desarrollaron en un pasado lejano. Queda claro que los aspectos de seguridad de TI no se tuvieron en cuenta desde el principio, pero si se tuvieron, inicialmente, los aspectos de seguridad física, como la construcción de sistemas de vallado de gran complejidad y el suministro de personal de seguridad.

Otra causa fue la separación de los sistemas informáticos del acceso a Internet. Sin embargo, la digitalización no sólo ha pasado desapercibida, sino que ha dado lugar a cambios considerables en los últimos años. En las empresas industriales modernas, por ejemplo, muchas máquinas, dispositivos y empleados están ahora conectados a Internet. Además de las muchas ventajas que esto trae consigo, también hay desventajas que no son insignificantes: Por lo tanto, las infraestructuras críticas son aún más vulnerables para los ciberataques.

 

¡…y estaba todo a oscuras!

 

El alcance de un ataque cibernético a infraestructuras críticas queda demostrado por un ataque sin precedentes a la red eléctrica de Ucrania en 2015: los hackers paralizaron todo el suministro de energía. Los hogares permanecieron a oscuras durante horas, los hospitales tuvieron que acceder a generadores de energía de emergencia. El ataque del hacker fue supuestamente llevado a cabo por actores estatales que sabotearon el suministro de energía del país con la ayuda del malware Industroyer. En 2017, una central eléctrica saudí fue víctima de piratas informáticos. El objetivo del ataque era presumiblemente destruir la planta.

El ataque fue descubierto por casualidad. De esta manera, se pudieron prevenir cosas peores. Según los medios de comunicación, el ataque se produjo a través de un sistema de seguridad que se utiliza en todo el mundo en centrales eléctricas de gas y petróleo, así como en centrales nucleares, también en Alemania. El código Triton utilizado en el ataque fue publicado en Internet poco después. Esto creó la base para nuevos ataques de hackers experimentados. Según sus propias declaraciones, los investigadores de seguridad pudieron localizar otro ataque con el código Triton en abril de 2019. Sin embargo, sigue sin estar claro cuándo tuvo lugar el ataque y qué sistema estaba en el punto de mira. Los investigadores llegaron a la conclusión de que los atacantes querían sentar las bases para el daño físico. Esto sugeriría también que se estaban dirigiendo a otros operadores de infraestructuras críticas. Por este motivo, los investigadores han hecho públicos los detalles del malware detectado para ayudar a los responsables de TI a detectarlo y prevenirlo.

Los acontecimientos del pasado son preocupantes. Una buena señal, sin embargo, es la creciente conciencia de la seguridad de TI dentro de las infraestructuras críticas. El control de desastres, por ejemplo, ya ha elogiado la creciente seguridad informática.

 

El peor caso: ataque cibernético al operador de infraestructuras críticas

Sin embargo, esto no significa que el tema esté fuera de debate. Durante mucho tiempo su objetivo fue el de sensibilizar a la gente sobre el establecimiento de medidas de seguridad. ¿Y si este fuera el caso? Partimos del peor de los escenarios: Un ataque cibernético apaga la electricidad en España. Según Arne Schönbohm de BSI, la red y el suministro de energía es un objetivo atractivo para paralizar a todo un país. De acuerdo con esto, en caso de un corte de energía cada vez mayor se producirían grandes cuellos de botella en el suministro. Esto también suscita preocupación en el campo del control de desastres. Echemos un vistazo más en detalle a un pequeño escenario de ataque:

 

Un ataque de un Ransomware se ejecuta en los siguientes pasos:

  1. Reconocimiento
  2. Armonización
  3. Entrega
  4. Explotación
  5. Instalación
  6. Mando y control
  7. Acciones sobre el objetivo

 

Reconocimiento: Identificación del objetivo

Existen básicamente dos tipos de ataques: ataques dirigidos y ataques masivos. La cadena de ataque se trata principalmente en ataques dirigidos. Primero se elige el objetivo. Aquí se recoge toda la información posible para averiguar cómo se crea la empresa y dónde hay lagunas que podrían utilizarse para la intrusión. La atención se centra normalmente en un determinado empleado que comparte mucha información sobre sí mismo: Detalles de contacto, títulos de trabajo, planes de vacaciones y más. Una vez que se ha encontrado la vulnerabilidad correcta, se da el siguiente paso.

Armonización: preparación del ataque

El atacante selecciona una herramienta adecuada dependiendo del objetivo deseado y del procedimiento planeado – si es posible, por supuesto, debe ser pérfido. A menudo una encriptación trojan es la mejor solución, que se mantiene cubierta al principio y recoge más información. Muchos de estos códigos están disponibles gratuitamente en Darknet (red oscura).

Entrega: primeros pasos para ejecutar el ataque

En esta fase, el delincuente tiene que elegir un canal de distribución. El delincuente puede optar por utilizar un CD-ROM, una memoria USB o el clásico correo electrónico. Los más populares son los correos electrónicos de phishing que se vinculan a un sitio web malicioso o que contienen un documento infectado que se supone que el destinatario debe abrir. La ventaja del método de phishing nos lleva directamente al siguiente paso.

Explotación: Detección de vulnerabilidades de seguridad

La falta de conciencia por parte de los empleados es un vector popular de inspiración. Palabra clave «ingeniería social»: el phishing, el fraude del ceo o la caza de ballenas se utilizan para explotar la incertidumbre y la ignorancia de los empleados para entrar en el sistema. Pero las superficies de ataque abiertas también pueden estar en la tecnología, como los agujeros de seguridad sin parchear en los programas utilizados en toda la empresa.

Instalación: implementación de una puerta trasera

Lógicamente, no aparecerá ninguna ventana emergente una vez que se haya instalado el malware. La instalación se ejecuta de forma oculta y sin el conocimiento del usuario. El malware anida y espera su gran momento.

Mando y Control: Control remoto del sistema de destino

Para mantener el control del malware, se puede utilizar el protocolo de escritorio remoto. El control remoto es esencial para alcanzar el objetivo real. Ahora incluso es posible utilizar la inteligencia artificial para que el malware pueda realizar acciones de autoaprendizaje, como recargar otro malware o espiar datos personales.

Acciones sobre el objetivo: Logro del propósito

El gran momento ha llegado y el atacante puede hacer su acción concreta después de la infiltración completa del sistema. En nuestro caso, la fuente de alimentación está desconectada. Pueden pasar varios años hasta que el malware se ejecute o se detecte.

De la cadena de ataque se desprende claramente que la prevención y la defensa contra ataques cibernéticos sofisticados sólo es posible con herramientas especiales y una fuerte y regular sensibilización a los empleados. Estos incluyen servicios que pueden detectar malware pérfido y complicado, como amenazas persistentes avanzadas con motores de análisis especiales, congelación y sandboxing. El hecho es que los ataques cibernéticos seguirán aumentando y que deben adoptarse medidas de protección en una fase temprana.

En resumen, los ciberataques a infraestructuras críticas pueden suponer una amenaza para la seguridad nacional. Un ataque a la red de energía o al suministro de agua puede tener consecuencias que no sólo podrían resultar en pérdidas económicas, sino que también podrían cambiar completamente la vida tal y como la conocemos.

Más información:

 

Artículo en el blog: Industria 4.0 – ¿Cuán segura es la producción del futuro?