El FBI emite hoy una advertencia al sector privado de EE. UU. Ataque de navegación electrónicatambién conocido como ataque de navegación web o Magecart.
Los ataques de desnatado electrónico siguen un patrón simple: (1) los piratas informáticos ingresan a la tienda en línea de una empresa; (2) los piratas informáticos ocultan un código malicioso en el sitio web de la empresa; (3) el código recopila la información de las tarjetas de pago de los usuarios mientras compran en el sitio web comprometido.
devolver: Los datos de mi tarjeta de crédito robada se usaron a 4.500 millas de distancia. Estoy tratando de averiguar cómo sucedió (artículo de portada PDF) República tecnológica
Este tipo de ataques han estado ocurriendo desde 2016, pero en los últimos dos años, 2018 y 2019, se han intensificado y se han convertido en un problema que los usuarios finales, las empresas y las agencias gubernamentales ya no pueden ignorar.
Inicialmente, estos ataques se llevaron a cabo mediante la explotación de vulnerabilidades en plataformas de compras electrónicas de código abierto, siendo Magento un objetivo favorito.
Sin embargo, en los últimos dos años, los métodos de ataque de los piratas informáticos se han diversificado enormemente y ahora cualquier tienda en línea es vulnerable, ya sea que se ejecute en una plataforma de código abierto como Magento o en un servicio alojado en la nube.
Entre los escenarios de explotación que se han observado y que llevaron a eventos de navegación electrónica, enumeramos:
- Hackear empresas de terceros que proporcionan widgets cargados en la tienda en línea (widgets de soporte técnico, cumplimiento de cookies de la UE, etc.). En este caso, el código malicioso se cargó a través de un servicio de terceros pirateado.
- El código malicioso se coloca en la cuenta de alojamiento en la nube de la empresa, que está abierta a personas externas con permisos de «escritura». En este caso, los atacantes modificaron efectivamente el código fuente del sitio porque la empresa olvidó asegurar un depósito de AWS con los permisos adecuados.
- Hackea plataformas de tiendas en línea y coloca código en miles de tiendas a la vez.
- Hackear o phishing la cuenta de administrador de la tienda y usar esta cuenta comprometida de alto privilegio para colocar códigos de navegación electrónicos en la tienda en línea.
En su último informe que detalla los ataques de navegación electrónica publicado a principios de este mes, la firma de seguridad cibernética RiskIQ dijo que observó este tipo de código malicioso en más de 18,000 dominios.
Algunos de estos ataques fueron llevados a cabo por simples grupos de piratería que utilizaban kits de navegación electrónicos comprados en foros de piratería en línea, pero otros fueron obra de grupos criminales experimentados y de larga data involucrados en muchos otros tipos de actividades delictivas cibernéticas.
Ahora, como parte de su Mes de Concientización sobre Seguridad anual, el FBI insta a las empresas a estar al tanto de este nuevo tipo de ataque y tomar medidas de seguridad para proteger a los usuarios finales.
“Esta advertencia es específica para las pequeñas y medianas empresas y las agencias gubernamentales que usan tarjetas de crédito para pagar en línea”, dijo el FBI.
El FBI, junto con la Dirección de Seguridad de Infraestructura y Ciberseguridad del Departamento de Seguridad Nacional, recomienda que las empresas y agencias gubernamentales:
Desde el punto de vista del usuario, no pueden detectar ni prevenir ataques de navegación electrónica.
Una solución es usar un producto antivirus, no todos los cuales están actualizados con la última lista de dominios que los piratas informáticos usan para atacar. Los productos antivirus pueden detectar sitios infectados que tienen un día de antigüedad, pero no pueden detectar sitios que han sido pirateados recientemente, por lo que los datos de los usuarios siempre serán robados por un período corto de tiempo, incluso si usan productos antivirus.
Otra solución es que los usuarios finales se suscriban a un servicio de «tarjeta virtual». Estas son soluciones de pago en línea donde los usuarios obtienen un número de tarjeta de pago único que solo pueden usar para una transacción.
Incluso si el número de tarjeta se usa en un sitio web comprometido, una vez que se completa la transacción, el número de tarjeta caduca y el pirata informático no puede usarlo más adelante. La desventaja es que el servicio de «tarjeta virtual» no siempre está disponible en todos los países del mundo, y no todos los usuarios lo obtienen.
Los ataques de navegación electrónica seguirán siendo una de las principales amenazas en la actualidad, y no existe una única solución panacea para detectarlos o detenerlos.
Una forma más fácil de evitar que esto suceda, como han sugerido el FBI y DHS CISA, es bloquear el acceso de los piratas informáticos al sitio web en primer lugar, en lugar de tratar de detectar un ataque en curso.