Cómo proteger sus datos de Magecart y otros ataques de comercio electrónico

Cómo proteger sus datos de Magecart y otros ataques de comercio electrónico

Cómo proteger sus datos de Magecart y otros ataques de comercio electrónico

Publicado: 28 de septiembre de 2018 por 
Última actualización: 27 de septiembre de 2018

En la era dorada de las compras en línea de hoy, los consumidores ingresan a Internet, ingresan algunos detalles de tarjetas de crédito y reciben productos felices en su puerta, seguros sabiendo que su proveedor en línea es bien conocido, investigado y, por lo tanto, su sitio web para estar seguro , ¿verdad? ¿Sabías que los hackers pueden robar los datos de tu tarjeta de crédito con solo unas líneas de JavaScript?

Los ataques a sitios web con el propósito de recopilar datos enviados por usuarios no son nuevos. Magento, la plataforma de comercio electrónico de código abierto, ha sido el objetivo de tales ataques durante años .

Al comprometer sitios web que también se utilizan como plataformas de pago, recolectar números de tarjetas de crédito y otra información privada de identificación personal (PII) sobre la marcha es un proceso sorprendentemente fácil y lucrativo.

En cierto sentido, este es el equivalente digital al raspado con tarjeta de crédito  , un proceso de obtención de los detalles de la tarjeta de crédito de alguien en un cajero automático. De la misma manera que los delincuentes pueden alterar el cajero automático, también pueden hacerlo con la página de pago de un sitio web.

En los últimos meses, ha habido un aumento constante de estos ataques tras los sitios web más pequeños y las principales empresas. Esta publicación del blog revisará algunos de los eventos más recientes que hemos presenciado y ofrecerá algunas técnicas de mitigación para una amenaza que pretende volar bajo el radar.

Compromisos de terceros

Los atacantes pueden comprometer un sitio web utilizando muchas técnicas diferentes, a menudo explotando vulnerabilidades o contraseñas débiles. Cuando eso no es posible, a menudo se dirigen a una biblioteca de terceros en la que se basa el sitio, lo que tal vez no sea tan seguro.

Un beneficio adicional de los compromisos de terceros es la escalabilidad del ataque. Al piratear a un solo proveedor, puede afectar a un grupo completo de sitios web que dependen de él.

El código malicioso a continuación se adjuntó a un script legítimo y confiable en un formato ofuscado. Este es el trabajo de  Magecart,  el nombre que recibe un grupo de actores de amenazas responsables de varios ataques de alto perfil recientemente.

Después de decodificar el script, podemos ver el código responsable de recopilar los datos cuando los clientes presionan el botón de pago. A nivel de red, esto parece una solicitud POST donde cada campo (nombre, dirección, número de tarjeta de crédito, fecha de vencimiento, CVV, etc.) se envía en formato Base64 al servidor deshonesto ( info-stat [.] Ws ) controlado por los criminales:

Este tipo de ataque ocurre de manera transparente tanto para el comerciante como para el cliente. En contraste con las violaciones que involucran bases de datos filtradas donde la información puede estar encriptada, los skimmers web pueden recopilar sus datos en texto claro y en tiempo real.

Caso de British Airways

Entre agosto y septiembre de 2018, British Airways sufrió un ataque de Magecart durante 15 días , que fue objeto de un gran enfoque para no levantar sospechas de los visitantes o administradores del sitio.

Se manipuló una biblioteca de JavaScript y se mezcló en el flujo de pagos de una manera que se mezcló perfectamente con el fondo. De hecho, la secuencia de comandos se cargó desde la página de información de reclamos de equipaje y los atacantes incluso pagaron por un certificado SSL para el servidor al que enviaron los datos robados. Podrían haber usado un certificado gratuito como hacen muchos otros estafadores, pero es probable que quieran evitar las banderas rojas y hacer que todo parezca lo más legítimo posible. Si no hubieran tomado tantas precauciones, bien podrían haberse descubierto mucho antes.

En términos de datos robados, los atacantes lograron reclamar tanto la PII como los detalles de pago. El ataque fue tan completo que Magecart incluso pudo pasar datos de usuarios de aplicaciones móviles, debido a que partes del sitio se cargaron dentro de la aplicación y los atacantes aseguraron que tenían algunas piezas de código específico para dispositivos móviles listas y en espera.

El hecho de que pudieron realizar tal ataque, además de tener tanto acceso interno al propio sitio de British Airways, es profundamente alarmante. No es solo que la información de pago se ponga a disposición de las aerolíneas diariamente, sino que se trata de detalles del pasaporte, fechas de nacimiento y otra información increíblemente personal. Afortunadamente, British Airways confirmó que no se tomaron datos de viaje. Pero en términos de posibles consecuencias, incluidas las inevitables fugas de datos posteriores al ataque y los intentos de chantaje, este ataque por encima de todos los demás podría haber sido catastrófico.

Mitigaciones

No existe una bala de plata para prevenir los ataques de rozamiento web, pero todavía hay medidas que se pueden tomar para mitigar los riesgos.

Comerciantes (del lado del servidor)

La operación de un sitio web de comercio electrónico conlleva ciertas responsabilidades, especialmente si la información de pago se maneja a través de él. Generalmente, es una práctica más segura (y más fácil) externalizar el manejo de transacciones financieras a partes más grandes y confiables. El cumplimiento de PCI y los riesgos asociados con la recopilación de datos pueden ser abrumadores, especialmente para los propietarios de sitios que prefieren centrarse en el aspecto comercial de las cosas.

Hay demasiados aspectos de la seguridad del sitio web para cubrir aquí sobre cómo evitar que su propio sitio sea hackeado, por lo que nos centraremos en un escenario de compromiso de terceros.

La verificación de la integridad de los recursos de terceros es un aspecto de seguridad que se ha pasado por alto, pero puede proporcionar grandes beneficios al cargar contenido externo. La realidad es que un sitio web generalmente no puede albergar todo el contenido en sí, y tiene más sentido confiar en CDN y otros proveedores por razones de velocidad y costo.

Esta relación no significa necesariamente tener que superar los problemas experimentados por un tercero. Si bien en este post nos hemos centrado en los ladrones de tarjetas de crédito, existen otras amenazas que pueden difundirse a través de bibliotecas de terceros. Por este motivo, la implementación de medidas de seguridad como la Política de seguridad de contenido (CSP) y la  Subresource Integrity(SRI) puede ayudar a mitigar muchos problemas.

Consumidores (del lado del cliente)

Una cosa a tener en cuenta como consumidores es que estamos depositando nuestra confianza en las tiendas en línea donde compramos. Por esta razón, puede ser conveniente evitar los sitios más pequeños que quizás no tengan el mismo nivel de seguridad que los más grandes. Por supuesto, con casos como British Airways o Newegg , este consejo muestra sus limitaciones.

El uso de complementos del navegador como NoScript puede evitar que JavaScript se cargue desde sitios no confiables y, por lo tanto, reduce la superficie de ataque. Sin embargo, tiene las mismas deficiencias cuando el código malicioso está incrustado en recursos ya confiables.

Magecart y otros skimmers web se pueden mitigar en la capa de exfiltración, bloqueando las conexiones a dominios conocidos y direcciones IP utilizadas por los atacantes. Sin embargo, no es una prueba completa, considerando lo trivial que es registrar nuevas propiedades. Pero la reutilización de la infraestructura es algo que todavía vemos con bastante frecuencia.

Continuaremos monitoreando estas amenazas y agregaremos indicadores de compromiso (IOC) relacionados a nuestra base de datos para proteger a nuestros clientes de Malwarebytes.

Phone spampocalypse: luchando en la era de las llamadas no deseadas

Phone spampocalypse: luchando en la era de las llamadas no deseadas

Phone spampocalypse: luchando en la era de las llamadas no deseadas

Publicado: 27 de septiembre de 2018 por 

Cuando Nigel Guest, entonces presidente del Consejo de Asociaciones de Vecindarios (CNA), envió un correo electrónico con el asunto “prueba” y la letra minúscula “x” en el cuerpo del mensaje, la ciudad de Berkeley, California, entró en una frenesí. Verá, el Sr. Invitado pensó que solo lo envió a sí mismo, pero en realidad publicó ese escueto correo electrónico por accidente a miles de votantes registrados en el área. Y así, lo que ahora conocen los lugareños como nació Berkeley Spampocalypse.

Algunos estaban comprensiblemente molestos, enojados, incluso amenazantes, mientras que otros lo tomaban con gracia. Aquellos en el último grupo pudieron organizar un almuerzo campestre  que llamaron “CNA Survivor Picnic” ese fin de semana en el Parque Ohlone. 70 residentes se presentaron, lo pasaron genial y culminaron el evento al darle al Sr. Guest una lata de Spam como regalo de agradecimiento.

Por supuesto, no muchas historias de spam tienen una felicidad para siempre. De hecho, muchos de nosotros sabemos que un resultado positivo como típicamente no sucede en absoluto. Cuando se trata de spam, las caras se tiñen de rojo, las pupilas se dilatan y la gente hace sonreír detrás de los dientes apretados.

El correo no deseado masivo no deseado fue alguna vez la perdición de la sociedad antes de que se introdujera la tecnología de filtrado. Aunque el correo no deseado aún puede costar la productividad de otra persona, podemos decir que en este momento, al menos, hemos llegado a administrar el spam masivo.

Lamentablemente, no podemos decir lo mismo sobre el correo no deseado del teléfono.

Spampocalypse renacido

Los usuarios se encuentran en guerra con una tendencia en constante aumento de llamadas no deseadas que afecta a los teléfonos inteligentes, teléfonos fijos tradicionales y dispositivos VoIP. Y si bien existen herramientas para ayudar a los consumidores a abordar llamadas automatizadas, llamadas fraudulentas y llamadas falsas, contrariamente a la opinión popular, las compañías de telecomunicaciones de los Estados Unidos tienen la tecnología para proteger a los clientes, pero aún no lo han hecho.

Hasta el día de hoy, algunas de estas compañías aún están dando vueltas y vueltas para bloquear de manera agresiva las llamadas automatizadas, poniendo la tecnología en un segundo plano. Otro obstáculo para la adopción de nuevas tecnologías de bloqueo es la existencia de sistemas telefónicos heredados que pueden no estar a la altura de la tarea. Como resultado, abordar el problema del robocall se deja principalmente en manos de los consumidores.

Pero el problema del correo no deseado no va a desaparecer por sí mismo. Según un informe de First Orion , una compañía que ofrece bloqueo de llamadas, en 2019 casi la mitad de las llamadas a teléfonos celulares en los Estados Unidos serán estafas. También estamos viendo una nueva y emergente tendencia de robocallers que no hablan inglés  dirigidos a las comunidades de inmigrantes. Afortunadamente, los legisladores han tomado nota de la creciente ola de spam telefónico y han decidido hacer algo al respecto.

El brazo de la justicia

Muchos pueden sentir que la pelea es como David (piedra y tirachinas en la mano) contra 10 Goliats en carros, pero lo que los usuarios deben darse cuenta es que no están solos.

100 canales y nada activado, excepto TV phishing Licensing

100 canales y nada activado, excepto TV phishing Licensing

100 canales y nada activado, excepto TV phishing Licensing

Publicado: 25 de septiembre de 2018 por 
Última actualización: 24 de septiembre de 2018

Hemos visto a muchas personas haciendo referencia a los correos electrónicos de Licencias de TV falsas que han recibido en los últimos días. La mayoría hasta ahora parece ser avisos falsos de reembolso, pidiéndoles a las víctimas potenciales que inicien sesión en un sitio web falso de la licencia de TV y que proporcionen detalles de pago para los reembolsos. Definitivamente, mantiene la atención al cliente ocupada:

licenciar twitter

Click para agrandar

Muchas de las URL que hemos analizado ahora están caídas, pero no todas, por lo que pensamos que echaríamos un vistazo.

Las páginas de estafa son lo que describiríamos como funcionales; una descripción bastante precisa de lo que uno esperaría ver en una página de reembolso genuino alojada en el sitio web de Licencias de TV . En este ejemplo, el sitio afirma que se le debe al visitante un reembolso de £ 147, aunque hay cantidades variables citadas en los correos fraudulentos, como veremos más adelante.

Este es uno de los sitios de estafa en cuestión, ubicado en:

concesión (dot) de tv (punto) asegurada (punto) ref (punto) pbmsim (punto) com / tv-secure /

sitio de licencia falsa

Click para agrandar

Junto con los estafadores habituales de información personal como para obtener, el sitio desea tanto los datos de la tarjeta como la información de la cuenta bancaria, lo que podría dar lugar a largas discusiones con el banco para luego enderezar todo. También piden el apellido de soltera de su madre, presumiblemente para intentos adicionales de ingeniería social más adelante en la línea (o incluso solo un intento general para obtener una respuesta de restablecimiento de contraseña).

Al igual que con muchas de estas estafas, el sitio afirma que la víctima necesita dar “dos o tres días” para permitir que se procese el reembolso. Esta es una táctica tan antigua como las colinas para dar a los estafadores suficiente espacio para respirar y hacer daño mientras la víctima no hace nada, esperando ansiosamente un reembolso que nunca llegará.

Observaciones generales

Muchos de los sitios que se abren camino en las bandejas de entrada de las personas pueden no ser de la misma campaña, y como resultado, todos están haciendo muchas cosas diferentes. A continuación, tratamos de precisar algunos de los patrones comunes que hemos visto en esta explosión de correo no deseado.

1) Algunos de los sitios que actualmente brincan tienen un aviso de copyright de 2017, mientras que el resto dice 2018. Si bien esto no es suficiente para avisarle a alguien que el sitio que está viendo es falso, podría ayudar a inclinar la equilibrio para algunos.

2) No hemos visto ningún sitio HTTPs (todavía), pero eso no significa que no estén disponibles. Esta es la parte donde les recordamos gentilmente a todos que las páginas de phishing pueden y hacen uso de los HTTP para que las cosas se vean más legítimas, y dada la cantidad de servicios de certificados gratuitos que se ofrecen, no es exactamente difícil de lograr. Esto es lo que ve en el sitio no seguro arriba de nuestro ejemplo:

(Falta de) información del certificado

Click para agrandar

3) Los montos de los reembolsos y los plazos detallados en los correos varían ampliamente. Hemos visto a algunas personas quejarse de intentos de phishing en la región de £ 124,50 , y el 30 de septiembre como fecha límite para procesar cualquier solicitud de reembolso. El tiempo límite más largo que hemos visto es de ” 2 a 4 semanas “, que es un tiempo increíblemente largo para que un estafador asuma que una víctima potencial aún estará esperando su dinero.

El monto de reembolso falso más grande que hemos visto hasta ahora es de £ 492.57 . Dado que una licencia de TV en color cuesta alrededor de £ 150 , no hay forma posible de que se le adeuden a alguien cerca de £ 500 por licencias de TV de un año, a menos que algo haya salido mal.

4) Los sitios se ven similares, pero no siguen una plantilla uniforme. A continuación se muestra un ejemplo (ahora fuera de línea), que se ve bastante diferente al anterior, separando las diversas solicitudes de información en páginas separadas.

otro sitio falso

Click para agrandar

5) También ha habido algunas menciones de adjuntos de PDF dudosos  en Twitter, pero hasta ahora no se sabe si están cargados con malware o simplemente una parte adicional del phishing. Algunos estafadores intentarán hacer que sus misivas parezcan más legítimas con archivos PDF deshilachados para dar a todo un barniz adicional de “esto es definitivamente lo real”. Solo porque un archivo adjunto esté presente, no necesariamente significa que es un archivo de infección. (Por supuesto, nunca aconsejaríamos abrir uno para verificar).

Pensamientos finales

Esta no es una estafa demasiado complicada, pero una vez más, no es necesario. Pidiendo unos pocos cientos de libras de personas aquí y allá se suma rápidamente, y el temor de no pagar su licencia de televisión a tiempo es casi una especie de reflejo de pánico para los británicos. Por lo tanto, tiene sentido para los estafadores aprovechar la cautela de las personas y agradecer a sus estrellas de la suerte por un reembolso de licencia demasiado bueno para ser cierto.

Si está preocupado, consulte los consejos del sitio web de la licencia de televisión sobre estafas de suplantación de identidad y desconfíe de los correos electrónicos que afirmen ofrecer dinero en efectivo, sin importar el monto. Existe una buena posibilidad de que la misiva que está frente a usted deba depositarse en el lugar al que pertenece: en la papelera de reciclaje.

Usuarios de Safari: ¿A dónde fueron tus extensiones?

Usuarios de Safari: ¿A dónde fueron tus extensiones?

Usuarios de Safari: ¿A dónde fueron tus extensiones?

Publicado: 25 de septiembre de 2018 por 

Safari 12 ha traído consigo algunos cambios en la forma en que OSX maneja las extensiones del navegador. En la WWDC de junio, Apple anunció que Safari bloquearía las extensiones heredadas instaladas desde fuera de la galería de extensiones, que a su vez quedaría obsoleta.

Como reemplazo, Safari ahora dependerá de las “extensiones de aplicación”. Apple dijo que las extensiones de aplicaciones no ven ningún detalle de navegación, están más segregadas de los datos de los usuarios y ejercen una presión mucho menor sobre el rendimiento general. Suena genial, ¿verdad? Lamentablemente, la implementación ha sido un poco descarada, como puede ver a continuación:

No se requiere interacción del usuario, no hay información real sobre por qué las extensiones específicas se desactivaron con la exclusión de otras, solo una desactivación automática. Cuando esto sucede con las extensiones centradas en la seguridad, puede ser un poco alarmante, y muchos usuarios parecen haber sido atrapados por sorpresa.

Cómo volver a habilitar extensiones

Algunos fabricantes de extensiones como Adblock Plus han lanzado nuevas versiones para cumplir con los requisitos de seguridad de Apple. Pero si su favorito no se ha actualizado todavía, ¿cómo lo vuelve a habilitar?

Con Safari abierto:

  • Ve a Preferencias
  • Haga clic en el ícono de Extensiones
  • Marque manualmente la casilla junto a la extensión que desea habilitar

Pero, ¿por qué es esto un problema de seguridad?

No es mucho trabajo recuperar tus extensiones, entonces ¿cuál es el problema? Apple lo anunció de antemano, después de todo. Veamos algunas razones por las cuales esta podría no haber sido la mejor manera de implementar nuevas características OSX.

El cuadro de diálogo se encuentra

“Safari desactivó extensiones que ralentizan la navegación web”. En el sentido más literal, esto es cierto. La navegación sin extensiones en absoluto probablemente sea fraccionalmente más rápida. Sin embargo, esta no es la  razón por la cual  Safari los apagó.

“Puedes encontrar extensiones más nuevas en la App Store”. Esto es literalmente cierto. ¿Pero puede encontrar versiones más nuevas de las extensiones específicas a las que se hace referencia? ¿Quién sabe? Las extensiones en la captura de pantalla en la parte superior probablemente se desactivaron porque, para empezar, no procedían de la galería de extensiones, y solo una tenía una nueva extensión de aplicación disponible al momento de la escritura.

Apple no comunica nada de esto a través del cuadro de diálogo.

Las notas de la versión son confusas

Esto es lo que dicen las notas de la versión de Safari 12 sobre el tema:

  • Apaga automáticamente las extensiones de Safari que afectan negativamente el rendimiento de navegación
  • Mejora la seguridad al solo admitir extensiones heredadas de Safari que han sido revisadas por Apple

En el ejemplo anterior, el bloque de extensión probablemente se debió a la segunda viñeta. Pero el diálogo solo hace referencia a la primera viñeta. ¿Cuál fue? ¿Cómo puedo saber cuál de mis extensiones heredadas continuará recibiendo soporte?

La elección está hecha para ti

Esto es una cuestión de gusto, ya que no todos quieren ser molestados con las maquinaciones internas de su Mac. Muy pocas personas leen el texto en cualquier cuadro de diálogo, y cuando se trata de seguridad, la mayoría de las personas asume que su Mac sabe más.

Pero cuando las mejoras de seguridad afectan el rendimiento, ¿no se le debe dar la opción de pensar en ello antes de un cambio? Además, ¿qué pasa con las extensiones que se utilizan de forma rutinaria para realizar el trabajo? Algunos son mucho más críticos que los que cambian la palabra “milenario” por “serpiente” en las páginas web. Apagar todo indiscriminadamente puede tener efectos negativos en la productividad.

Los motivos de Apple con el cambio son puros, y fortalecer una pared entre las extensiones y los datos del usuario es una gran idea. Pero las implementaciones que no consideran la experiencia del usuario crean una gran cantidad de frustración a corto plazo y pueden erosionar la confianza en futuras mejoras de seguridad.

Los ataques de phishing por SMS apuntan al mercado de trabajo

Mobile Menace Monday: los ataques de phishing por SMS apuntan al mercado de trabajo

Mobile Menace Monday: los ataques de phishing por SMS apuntan al mercado de trabajo

Publicado: 24 de septiembre de 2018 por 

Recientemente, un compañero de trabajo recibió un atractivo mensaje SMS de ASPXPPZUPS Recursos humanos. Decía:

¿Cansado de tu viejo trabajo? Únase a nuestro equipo hoy, trabaje desde casa y gane $ 6,200 por mes: hire-me-zvcbrvpffy. <Hidden> .com.  

¿Podría ser que nuestro trabajo soñado lo espere a través de un mensaje de texto al azar? Por el contrario, este ataque de phishing SMS podría causar pesadillas para los cazadores de trabajos desprevenidos.

No abandone su trabajo diario

Con el fin de investigar este phishing aún más, el primer paso es navegar a este sitio web llamado de cambio de carrera mencionado en el mensaje.

¿¡Amazonas!? ¡Increíble! Repasemos esta emocionante posición de Prime Agent . ¡Gran salario base más comisión! Cuidado de la salud completo y horas de trabajo mínimas! ¿¡Nuevo carro!? Todo por un par de responsabilidades de trabajo fáciles que puedes hacer desde casa: ¡ Solicítalo ahora !

Está bien, en serio, si la nueva pieza del coche no avisa a la gente, esto es una artimaña, no sé lo que hará.

Reuniendo información

Sabiendo que esto es una estratagema, sigamos adelante haciendo clic en Aplicar ahoraindependientemente.

Aquí es donde estoy un poco decepcionado con los estafadores. Esta podría ser una oportunidad para reunir el currículum completo de una persona, con su historial de trabajo, educación, dónde viven y una gran cantidad de información adicional. En cambio, solo solicitan el nombre, el correo electrónico y el número de teléfono. Perezoso. Aún así, esto es suficiente para enviar correos electrónicos no deseados e incluso más ataques de phishing SMS.

Al agregar información falsa y activar un sniffer de red, envié la información.

Como resultado, la captura de red muestra la información que va a un amz-jobs-careers. <oculto> /apply.php. Después de presionar Enviar detalles,  se redirecciona a amazon.com para que las cosas parezcan legítimas.

Los cazadores de trabajo ten cuidado

Muchos estudios han demostrado que en Estados Unidos, muchas personas no están contentas con sus trabajos actuales. Por ejemplo, el Conference Board realizó un estudio de 2018  que informa que el 51 por ciento de las personas están satisfechas con sus trabajos, lo que deja al 49 por ciento insatisfecho. Además, ahora mismo se trata de una economía rica en empleos, lo que significa que es un buen momento para mirar si no estás contento con tu situación actual. No es de extrañar que los estafadores se dirijan a los buscadores de empleo. Para aquellos en el 49 por ciento, lo mejor es seguir con los métodos más confiables que a través de mensajes de phishing SMS.

Para ayudar en la batalla contra los ataques de phishing SMS, nuestra versión premium de  Malwarebytes para Android  alerta a los usuarios de enlaces peligrosos en mensajes SMS. Además, nuestro también escanea las URL de phishing cuando usa el navegador Chrome, una vez más alertando sobre la detección.

En caso de que alguien se lo esté preguntando, tengo la suerte de estar en el 51 por ciento de las personas satisfechas con sus trabajos, ¡principalmente porque protejo a lectores como usted! Manténgase seguro allí!

6 señales seguras de que alguien te está estafando, además del correo electrónico

6 señales seguras de que alguien te está estafando, además del correo electrónico

6 señales seguras de que alguien te está estafando, además del correo electrónico

Publicado: 20 de septiembre de 2018 por 
Última actualización: 19 de septiembre de 2018

Hay varias vías de ataque comunes y desafortunadamente exitosas que los ciberdelincuentes pueden utilizar para apartarlo de su contacto personal e información financiera. Estos métodos de ataque de phishing incluyen correo electrónico, llamadas telefónicas, software o aplicaciones corruptas, redes sociales, anuncios e incluso mensajes directos de texto (SMS).

Más allá del medio utilizado para comunicarse con usted (¡que a menudo es correo electrónico!), ¿Cuáles son algunos de los signos y comportamientos que debe buscar? No todas las amenazas son tan obvias como cabría esperar, y las conversaciones que se centran únicamente en la bandeja de entrada son completamente inadecuadas en el desgarrador paisaje en el que nos encontramos ahora.

1. Su software o aplicación en sí es phishing

Incluso los titulares más recientes indican que el software y las aplicaciones falsificadas siguen siendo peligros reales y presentes para los nómadas digitales. Tanto en Android como en iOS, los codificadores inescrupulosos periódicamente encuentran formas de eludir el proceso de aprobación y entregar una aplicación que parece proporcionar una funcionalidad común incluso cuando extrae información personal y la envía a partes desconocidas.

También hay otros medios de engaño. Las críticas falsas en las tiendas de aplicaciones siguen siendo asombrosamente comunes . Varios centenares o incluso un par de miles de críticas brillantes dan una impresión de legitimidad a nivel de la superficie, pero una mirada más cercana revelará el fraseo similar utilizado por múltiples usuarios o incluso nombres de usuario sospechosamente similares .

A veces, todo lo que se necesita es una bonita interfaz de usuario para enredar a los usuarios confiados de la tienda de aplicaciones. En algunos casos, los desarrolladores deshonestos incluso pueden mejorar la interfaz de usuario de la aplicación que intentan engañar, para obtener un impulso adicional de confiabilidad.

2. Has recibido un texto o llamada misteriosa

Gran parte del enfoque de la ingeniería social permanece en el correo electrónico, pero sería un error descontar el smishing (phishing de mensajes SMS) y vishing (phishing de voz). Los posibles alborotadores pueden falsificar fácilmente los códigos de área locales que usted podría reconocer, o incluso podrían hacerse pasar por representantes de soporte técnico para alentarlo a renunciar a las credenciales de sus dispositivos o cuentas.

Este es uno de los trucos más antiguos en los libros, y aún funciona. Afortunadamente, contar un despacho real de la compañía aparte de uno falso suele ser bastante fácil. Muchas compañías, como Microsoft y el IRS, tienen claro que nunca deben ponerse en contacto no solicitado con los clientes por teléfono . Si recibe una llamada de alguien que le ofrece ayuda que no solicitó y no necesita, cuelgue inmediatamente y bloquee el número en la configuración de su teléfono.

3. Has “ganado” algo

Las estafas de lotería y los omnipresentes anuncios emergentes “¡Has ganado algo glorioso!” Siguen siendo una forma popular de phishing para las cuentas bancarias y los números de ruta de las personas. Desafortunadamente, el hecho de que todavía existan y que sean tan comunes significa que todavía funcionan. Todos conocemos esa avalancha de adrenalina y emoción cuando recibimos algo cuando menos lo esperamos.

Una víctima puede recibir un mensaje en un sitio web fraudulento indicando que ganó un premio en efectivo o un sorteo de lotería en el que no ingresó , y que sus ganancias están disponibles para depósito directo. Si recibe un mensaje como este, elimínelo (sin leer) y bloquee la dirección de correo electrónico o el número de teléfono.

4. Tus cuentas de redes sociales están siendo armadas

Las redes sociales han dado lugar a formas particularmente desagradables de “spear phishing”, es decir, a los perfiles públicos de las víctimas mineras para obtener información útil, y luego hacerse pasar por alguien que usted conoce, o que al menos podría confundir como legítimo. Recuerde examinar a sus amigos digitales con cuidado.

Otra forma en que las redes sociales podrían ser convertidas en armas es a través de la mecánica del juego, que incluye encuestas y cuestionarios. Es posible que te motiven a girar una rueda, interactuar con la pantalla o proporcionar comentarios sobre algo, luego de lo cual “ganarás” el juego y se te solicitará información adicional.

En cuanto a las encuestas, recuerda que si obviamente no eres un cliente, probablemente seas el producto. Puede que no te sorprenda saber esto, pero las encuestas falsas son tan comunes en Facebook que los usuarios suelen encender los tableros de mensajes oficiales del sitio social preguntando por cuestionarios individuales, incluso el raro y legítimo, donde los usuarios reciben una compensación por dar su opinión.

En su forma más tortuosa, trampas como estas alimentan los esfuerzos de ingeniería social como los realizados por Cambridge Analytica durante la campaña Brexit , así como por actores nacionales y extranjeros durante las elecciones presidenciales de 2016.

5. Tu URL no se ve bien

Independientemente de cómo entre en contacto con un esquema de phishing, existe una buena posibilidad de que parte de la acción que desean que realice implique visitar una URL específica. Saber cómo saber cuándo una URL no es genuina o no está afiliada a la persona o compañía que afirma contactarlo, es una habilidad crítica.

El primer paso lógico es ejecutar una búsqueda de Google o Bing para la empresa y ver los resultados principales. La URL que se le ha asignado debe coincidir con la que aparece en la parte superior de la página de resultados de búsqueda. Algunos navegadores incluso te ayudan con esto.

El Safari de Apple trunca la dirección en la barra de URL para solo el dominio principal y el subdominio, según corresponda. La idea es recortar los números, letras y otros materiales de relleno para avisarte de inmediato si estás en un lugar que no esperabas. Los phishers han hecho un arte de usar URL largas y complicadas para ocultar sus intenciones.

Otra cosa que puede hacer es mantener una libreta de direcciones con las URL oficiales, los números de contacto y las direcciones de correo electrónico de las empresas con las que hace negocios. También puede escribir algunas reglas o filtros para que su bandeja de entrada elimine automáticamente y descarte los mensajes entrantes según los símbolos de confianza que ya haya identificado, como direcciones de remitentes cuestionables.

6. Has sido advertido o dado un ultimátum

Este es otro tipo de estafa que es tan antigua como las colinas digitales, y una que se aprovecha del elemento humano del miedo, o la preocupación innata de perder una fecha límite importante.

A los estafadores les encanta incluir un lenguaje vagamente amenazante en sus phishing para ilícita una respuesta rápida e irracional de sus objetivos. Por ejemplo, una campaña de mensaje negativo puede incluir una secuencia de comandos que les dice a los usuarios que su información se ha visto comprometida, y que es mejor entregar el pago antes de que los estafadores filtren esa información (a veces escandalosa) al público. Un caso clásico de extorsión.

Sin embargo, es más probable que se comprometa al reaccionar demasiado rápido ante una amenaza falsa que cuando realmente haya sido excluido de su sistema, o cualquiera que sea el reclamo.

¿Te sientes preparado?

Vivir una vida digital ya no es opcional, no cuando toda nuestra vida profesional, social e incluso política se desarrolla en línea.

Incluso la navegación diaria puede parecer un campo minado, pero ojalá se sienta mejor preparado para manejar la amenaza por excelencia que está en el corazón de casi todos los ataques de malware de la actualidad: el phishing. Los estafadores saben cómo atraer a sus víctimas, incluso si están fuera del grupo de correo electrónico. ¡Así que proteja sus aplicaciones, sus redes sociales, sus dispositivos móviles y sus navegadores bien!

Una semana en seguridad (del 10 al 16 de septiembre)

Una semana en seguridad (del 10 al 16 de septiembre)

Una semana en seguridad (del 10 al 16 de septiembre)

Publicado: 17 de septiembre de 2018 por 

La semana pasada en Malwarebytes Labs, evaluamos la seguridad de un enrutador portátil , identificamos las formas de perder el tiempo de un estafador , nombramos las muchas caras del fraude omnicanal , cuestionamos la seguridad de los 2FA , perfilamos una operación masiva de estafa de soporte técnico y expusimos un nuevo HMRC campaña de phishing .

Otras noticias de ciberseguridad:

¡Mantente seguro, todos!

¿Es la autenticación de dos factores (2FA) tan segura como parece?

¿Es la autenticación de dos factores (2FA) tan segura como parece?

¿Es la autenticación de dos factores (2FA) tan segura como parece?

Publicado: 14 de septiembre de 2018 por 

La autenticación de dos factores (2FA) se inventó para agregar una capa adicional de seguridad al procedimiento de inicio de sesión ahora considerado anticuado e inseguro para ingresar un nombre de usuario y contraseña.

Uno de los ejemplos más conocidos de 2FA es cuando intenta iniciar sesión en un sitio web familiar desde una máquina diferente o desde una ubicación diferente, lo que da como resultado una IP diferente. Con los procedimientos de inicio de sesión habilitados para 2FA, primero ingresará su nombre de usuario y contraseña en la computadora y luego recibirá un mensaje de texto en su teléfono que le proporcionará un código de verificación. Debe ingresar ese código de verificación en la computadora para completar el procedimiento de inicio de sesión.

Explicando los diferentes factores

La autenticación de dos factores es una versión menos compleja de autenticación de múltiples factores (MFA), que simplemente usa más factores para determinar la autenticidad de un inicio de sesión. Entonces, ¿cuáles son estos factores? Hay tres categorías principales de factores posibles en una configuración de autenticación de múltiples factores. Echemos un vistazo a las posibilidades.

Algo que sabes

La categoría “algo que sabes” es el factor con el que estamos más familiarizados. Se requiere que una persona ingrese la información que ellos conocen para poder acceder a su cuenta. La combinación de un nombre de usuario y una contraseña es el principal ejemplo, pero las preguntas de seguridad utilizadas por su banco entran en esta categoría.

Algo que tienes

Recibir un código de verificación como el que mencionamos anteriormente significa que el procedimiento que está utilizando es el factor “algo que tiene” de autenticación de dos o múltiples factores. Algo que tienes puede ser una cuenta de correo electrónico o un teléfono por separado al que se puede enviar un código de verificación, pero también hay soluciones de hardware especializadas como YubiKey que entran en esta categoría.

Algo que eres

La categoría “algo que eres” todavía está en desarrollo, pero se centra en ciertos marcadores físicos que se pueden analizar mediante tecnología o biometría , para probar tu identidad. Estos datos biométricos incluyen:

  • Huellas dactilares
  • Examen de retina
  • Reconocimiento de voz
  • Identificación de la cara

La mayoría de estos métodos aún deben ser lo suficientemente confiables para el uso diario, aunque las industrias para las cuales la seguridad es imperativa han comenzado a adoptarlas, incluidas las instituciones de salud, los bancos y los teléfonos móviles.

Muchos de estos métodos, una vez que se hayan realizado plenamente, dificultarán el crackeo de los ciberdelincuentes. Sin embargo, la mayoría de estos aún son demasiado caros de implementar o simplemente demasiado grandes para usar en nuestros teléfonos.

¿Cómo es 2FA vulnerable al ataque?

A pesar de las mejores intenciones: proteger los datos de las personas dificultando el acceso de los delincuentes, la autenticación de dos factores (y de factores múltiples) aún puede hacerse vulnerable. ¿Cómo? Los delincuentes lo puentean ya que están en posesión de un factor de autenticación, o se abren camino a la fuerza bruta, o usan esa herramienta malvada que ninguna tecnología puede proteger contra: la ingeniería social .

Estas son las formas más comunes en que se está abusando de 2FA:

Suplantación de identidad

El phishing se puede utilizar para atraer a las víctimas a una página de inicio de sesión falsa. Cuando la víctima ingresa sus credenciales, el atacante las envía a la página de inicio de sesión real, activando así el procedimiento 2FA que solicita a la víctima el código numérico que le enviaron por mensaje de texto o correo, o en algunos casos producido por una aplicación autenticadora. El atacante vuelve a capturar este código en la página de inicio de sesión falsa que la víctima todavía está usando y ahora tiene un conjunto de autenticación completo. Obviamente, debido a la utilidad limitada del numérico, el atacante tendrá que ser rápido. Pero una vez que se conecta con éxito, no hay nada que le impida cambiar el número de teléfono al que se enviará el siguiente código, o cualquier otra cosa en la cuenta que desee.Olvidé mi contraseña

Restablecimiento de contraseña

Algunos procedimientos de autenticación pueden omitirse mediante la realización de un procedimiento de “contraseña perdida” si el atacante está en posesión del elemento “algo que tienes”. Por ejemplo, supongamos que el atacante obtuvo acceso a la cuenta de correo electrónico de la víctima y se envió un enlace de verificación para un determinado acceso a esa cuenta. En tal caso, el atacante podría usar el enlace “Olvidó la contraseña” en el sitio web y usar la siguiente interacción por correo electrónico para cambiar la contraseña a algo que él conoce.

Fuerza bruta

Algunos tokens 2FA son tan cortos y limitados en caracteres que son fácilmente obtenibles por la fuerza bruta. A menos que haya una falla de seguridad en su lugar, un token de cuatro dígitos es bastante inútil si el atacante tiene tiempo para aplicar la fuerza bruta. Los tokens que tienen una validez limitada en el tiempo (TOTP) ofrecen una mejor protección contra este tipo de ataque.

Inicio de sesión de terceros

En algunos procesos de inicio de sesión, se le ofrece al usuario la opción de iniciar sesión utilizando una cuenta de terceros y el uso de esta opción omite el procedimiento 2FA. El ejemplo más conocido es el “inicio de sesión con su cuenta de Facebook” que se utiliza para ciertos sitios y aplicaciones. En tal caso, un atacante puede hacerse cargo de otras cuentas una vez que conozcan sus credenciales de Facebook. (Por eso le recomendamos que no inicie sesión con terceros a menos que sea absolutamente necesario).

¿Cómo podemos protegernos a nosotros mismos?

Con cada vez más infracciones masivas de datos de empresas enormemente populares grabadas cada mes, la autenticación 2FA se está convirtiendo rápidamente en un procedimiento estándar. Y a pesar de que hay formas de evitar 2FA, sigue siendo más seguro que usar el antiguo combo de nombre de usuario y contraseña. Para eludir 2FA, el atacante aún tendría que romper dos ciclos de autenticación, frente a uno solo para nombres de usuario y contraseñas.

Entonces, ¿cómo podemos hacer nuestra parte para mantener a los delincuentes lejos de 2FA? Siga estos pasos para mantener su información personal segura:

  • Preste atención a los correos electrónicos que le dicen que se usó una cuenta desde un dispositivo nuevo o desconocido, y verifique si realmente era usted. Además, preste atención a otras señales de advertencia obvias, como los correos electrónicos que le notifican intentos de inicio de sesión fallidos o solicitudes de restablecimiento de contraseña que no provienen de usted.
  • Si tiene una cuenta de Facebook, verifique en Configuración> Aplicaciones y sitios web si todo lo que se incluye allí fue utilizado por usted y si debería estar allí. Además, tenga en cuenta que una cuenta de Facebook “desactivada” se puede resucitar cuando utiliza la opción “iniciar sesión con su cuenta de Facebook” en algún lugar.
  • Si puede elegir los procedimientos de autenticación, investigue las vulnerabilidades conocidas y aplique esas lecciones. Por ejemplo, los algoritmos de tokens débiles pueden ser utilizados por un atacante para predecir el próximo token si pueden ver los anteriores. O usar tokens cortos sin una validez limitada puede dejarlo abierto para atacar. [LECCIÓN: Usa algos token fuertes.]
  • Capacítese a usted y a su personal para reconocer los intentos de phishing.

Si 2FA aún es vulnerable, usted podría estar preguntando: “¿Entonces por qué no usar la autenticación de múltiples factores?” La triste verdad es que incluso la autenticación de múltiples factores tiene sus soluciones. Los métodos para la autenticación de “algo que usted es” que se usa en nuestros dispositivos en este momento son todavía bastante fáciles de usar: no hace falta ser un genio pirata informático para desconectar el reconocimiento de voz.

Pero la industria está aprendiendo rápidamente a medida que avanza. Por ejemplo, el uso de dos cámaras de alta definición separadas hace que el iPhoneX sea mucho mejor en reconocimiento facial que algunos de los modelos de iPhone más antiguos. A medida que las versiones más seguras y robustas de la autenticación de múltiples factores estén disponibles, la esperanza sigue siendo que algún día es casi imposible engañarnos.

Partnerstroka: gran operación de estafa de soporte técnico presenta el último bloqueador del navegador

Partnerstroka: gran operación de estafa de soporte técnico presenta el último bloqueador del navegador

Partnerstroka: gran operación de estafa de soporte técnico presenta el último bloqueador del navegador

Publicado: 13 de septiembre de 2018 por 

Las estafas de soporte técnico continúan siendo una de las principales amenazas para los consumidores en 2018, a pesar de las acciones de los proveedores de seguridad y las fuerzas del orden público. Los estafadores están constantemente buscando nuevas formas de atraer a más víctimas, yendo más allá de  las llamadas frías personificando a Microsoft  para desviar los anuncios de soporte técnico usando el buen nombre de las marcas legítimas y, por supuesto, ventanas emergentes maliciosas .

Hemos estado monitoreando durante un tiempo una campaña de estafa de soporte técnico en particular que, como muchos otros, confía en la publicidad maliciosa para redirigir a los usuarios a las bien conocidas páginas de lockers de navegador ( browlocks ). Si bien es común que los estafadores de esta industria reutilicen las plantillas de diseño, aún pudimos aislar los incidentes pertenecientes a este grupo que hemos estado siguiendo con el nombre de Partnerstroka.

Sin embargo, volvimos a ver la misma campaña recientemente y notamos que las páginas de alerta falsas contenían lo que parecía ser una nueva técnica de browlock diseñada específicamente para Google Chrome. En esta publicación de blog, compartimos algunos de nuestros hallazgos sobre este grupo y sus últimas técnicas.

Identificación

El casillero del navegador es típico de los que normalmente vemos, pero los delincuentes se han asegurado de que la mayoría de los navegadores y sistemas operativos estén cubiertos con su propia página de destino. Esto se determina al observar la cadena de agente de usuario cuando el cliente solicita la página al servidor malicioso. Se personaliza aún más a través de funciones de JavaScript que realizan la parte de “bloqueo” de la estafa.

Diferentes plantillas para el mismo dominio de browlock

El nombre con el que rastreamos esta campaña está inspirado en la cadena “stroka” que se encuentra dentro del código fuente HTML. Esa misma cadena (y código similar) también estaba presente en los ” Browlock de policía ” anteriores basados ​​en JavaScript que requerían que los usuarios pagaran una multa con cupones. Sin embargo, debido a que la reutilización de código es común entre los estafadores, es probable que sea un grupo completamente diferente.

Identificación de campaña a través de redirecciones, TLD y registrador

Los actores de amenazas usan docenas de cuentas de Gmail siguiendo un patrón algo predecible.

Correos electrónicos de registratarios vinculados a la campaña de Partnerstroka

Cada dirección de correo electrónico está ligada a varios dominios de browlock de .club  ( gTLD ) que varían de unos pocos a varios cientos y que  abusan de la plataforma de registro / hospedaje de GoDaddy, con quienes hemos compartido nuestra investigación.

Una vista de los dominios que pertenecen a una dirección de correo electrónico

Pudimos extraer más de 16,000 dominios maliciosos durante un período de varios meses, pero creemos que el número real es mucho mayor. De hecho, nuestra visibilidad de la profundidad de esta campaña se relacionó en parte con las direcciones de correo electrónico que habíamos catalogado y, desafortunadamente, las nuevas leyes de privacidad alrededor de los  registros Whois obstaculizaron nuestra investigación.

Distribución del tráfico

Observamos diferentes técnicas para redirigir a los usuarios desprevenidos a las páginas de browlock, aunque la publicidad maliciosa casi siempre era un elemento de la cadena. La probabilidad de ser redireccionado a uno de estos programas es mayor cuando se visitan sitios web que tienen prácticas publicitarias menos que óptimas.

BlackTDS

BlackTDS es un sistema de distribución de tráfico (TDS) utilizado por ladrones para entregar amenazas web y evitar el tráfico no deseado (es decir, no humanos reales). El tipo de tráfico que se genera varía desde los ataques de ingeniería social hasta las infecciones a través de kits de exploits.

El grupo Partnerstroka utilizó varias redes publicitarias para atraer a los visitantes a la página de browlock, a veces directamente, pero a menudo, a través de una  puerta .info .

Tráfico BlackTDS, publicidad maliciosa, puerta .info y .club browlock

Sitios de señuelo

Otra técnica que los actores de la amenaza aprovecharon fue la redirección a través de portales señuelo que realizan lo que llamamos “encubrimiento”, un truco usado para servir contenido malicioso a ciertos tipos de usuarios y redirigir a otros (no objetivos) a una página benigna.

Tráfico de sitios señuelo que llevan a .club browlock

Redirects de Blogspot

También encontramos varios blogs alojados en Blogger (ahora propiedad de Google). Estos estaban vacíos o solo mostraban contenido limitado, y nuevamente, su propósito era redireccionar a las páginas de browlock.

Páginas de Rogue Blogspot utilizadas para redireccionamientos

Estudiando su cadena de redirección más de cerca, encontramos algo interesante en cómo se llamaba el dominio de browlock. Utilizaron una plataforma de marketing que respondería con el último dominio de browlock registrado:

Redirigir desde Blogspot al browlock

Malvertising a través de sitios inyectados

La mayoría de la actividad que estamos observando últimamente proviene de sitios web a los que se les ha añadido código de anuncios. Si bien algunos propietarios de sitios web hacen esto para monetizar su tráfico, se vuelve mucho más sospechoso cuando encontramos identificadores coincidentes de campañas publicitarias en dominios que aparentemente no tienen nada en común. Gracias a @ baberpervez2 por proporcionar cadenas recientes de publicidad maliciosa.

Taquilla del navegador para Edge en Windows 10 de una cadena maliciosa

El cursor malvado

Existen muchas técnicas documentadas diferentes que se pueden usar para evitar que los usuarios cierren una pestaña o ventana del navegador, y muchas veces son específicas de cada navegador. Por ejemplo, los usuarios de Edge y Firefox a menudo obtendrán la solicitud de autenticación requerida en un bucle, mientras que a los usuarios de Chrome se les proporcionarán cosas más desagradables, como intentos reales de congelar el navegador  o desencadenar miles de descargas .

A principios de septiembre, volvimos a encontrarnos con el grupo Partnerstroka y notamos que habían incorporado una técnica de bloqueo de navegador que funcionaba en contra de la última versión de Google Chrome (69.0.3497.81). De manera similar a otros trucos, impidió efectivamente el cierre de la página ofensiva porque el cursor del mouse había sido secuestrado.

Como se puede ver en la animación anterior, el punto rojo representa lo que el usuario realmente hace clic, aunque el cursor parece estar muy lejos. El código responsable de este comportamiento no deseado se puede encontrar en la etiqueta del cuerpo HTML:

Algunas líneas de código para alterar el cursor del mouse

El texto de Base64 decodifica a una imagen simple de un cursor de mouse de baja resolución, pero el bit importante es el píxel transparente de 128 × 128, que básicamente convierte el cursor en un cuadro grande. Reportamos este problema a través del portal de seguimiento de errores de Chromium , y la primera persona que respondió mostró el aspecto del cursor “maligno” personalizado:

El nuevo cursor muestra un cuadrado real (invisible)

Este es un ejemplo de muchos de esos trucos que se pueden utilizar contra los navegadores modernos. Muchas veces, las características que están bien documentadas o son más oscuras se convierten en vectores de ataque utilizados para engañar aún más a los usuarios finales, lo que hace que llamen a los estafadores para obtener ayuda. De hecho, el sonido de una alerta y un navegador que parece estar completamente bloqueado provoca pánico para muchas personas. Estas son esencialmente las mismas tácticas de miedo que se han usado por años y que aún funcionan bien.

Campañas similares

Hemos observado un aumento en las estafas de soporte técnico que abusan del registrador de NameCheap. Si bien no podemos identificar positivamente que este es también el grupo Partnerstroka (la reutilización de la página de destino entre los estafadores es una cosa), definitivamente comparten algunos rasgos comunes.

Nombre de dominio: ukxhdp [.] Club
URL del registrador: http://www.namecheap.com
Fecha de creación: 2018-08-21T15: 06: 23Z

Browlock usa el mismo truco de cursor con un dominio registrado a través de Namecheap

Nombre de dominio: descorservicesavailoffer [.] Club
URL del registrador: http://www.namecheap.com
Fecha de creación: 2018-08-22T12: 16: 07Z

Browlock alojado en el cubo AWS S3

Mitigaciones

Debido al tamaño y la naturaleza cambiante de la infraestructura entre las distintas campañas de los casilleros de los locker, la aplicación de un enfoque de dominio / base de datos de IP contra ellos no es una solución efectiva. A pesar de que ofrece cierta cobertura, los estafadores siempre están un paso adelante debido a su capacidad para registrar nuevos nombres de dominio (aún no detectados).

Aquí en Malwarebytes, abordamos este problema utilizando tanto la lista negra como, lo que es más importante, las técnicas heurísticas. Nuestra extensión de navegador (Beta) puede detectar y prevenir los bloqueos:

Browlock detenido a través de la extensión Malwarebytes

Las estafas de soporte técnico han estado sucediendo durante algún tiempo y han seguido varias tendencias a lo largo de los años. Si bien la ingeniería social es su principal ventaja, a menudo incorporan técnicas que ayudan con ese esfuerzo. Podemos esperar que los estafadores sigan ideando maneras inteligentes de interrumpir la experiencia de navegación y abusar de las plataformas de publicidad, registro y alojamiento a lo largo del camino.

Como defensores, también debemos enfrentar nuevos desafíos en el seguimiento de los actores amenazados que se benefician de los cambios planteados por las leyes de protección de la privacidad. A medida que nos adaptamos a estas nuevas realidades, compartir la inteligencia de amenazas con las partes involucradas se vuelve más importante que nunca para abordar el problema a una escala mayor.

Las muchas caras del fraude omnicanal

Las muchas caras del fraude omnicanal

Las muchas caras del fraude omnicanal

Publicado: 12 de septiembre de 2018 por 
Última actualización: 11 de septiembre de 2018

El surgimiento de nuevas tecnologías, redes sociales y otros medios de comunicación en línea han provocado cambios convincentes en las industrias en todos los ámbitos.

Por ejemplo, en el comercio minorista, las organizaciones usan herramientas digitales como sitios web, correo electrónico y aplicaciones para llegar a sus clientes actuales y potenciales, anticiparse a sus necesidades y adaptar sus estrategias comerciales para que la experiencia de compra del usuario sea positiva, sin fisuras y sin fricciones. y lo más conveniente posible

Este es el corazón del enfoque omnicanal. Y si bien el resultado previsto puede sonar encantador para los consumidores y las empresas, en realidad es más fácil decirlo que hacerlo. Se trata de una gran cantidad de planificación, ejecución, alineación de objetivos y valores centrales, y lo más importante para nosotros, la seguridad.

En cuanto a las organizaciones que  han adoptado este enfoque, la mayoría de ellos creen que no cuentan con las herramientas y medidas adecuadas para proteger sus empresas contra el fraude en el entorno omnicanal.

¿Qué es omnicanal?

Para entender cómo podemos proteger a las empresas en un entorno omnichannel, debemos volver a lo básico . Es importante saber qué es omnicanal, cómo funciona y cómo afecta a los clientes de las organizaciones que utilizan este enfoque.

Omnichannel-también deletreado omni-canal-es una palabra compuesta compuesta por las palabras “omnis” y “canal”. Omnis es la palabra latina para “todo”, mientras que el canal , en este caso, se refiere a una forma de hacer algo, tal como información o un producto, disponible. Con esto en mente, uno podría definir de forma aproximada omnicanal como disponible en todos los canales, independientemente del negocio o la industria a la que pertenece.

Por ejemplo, aunque una estrategia bancaria omnicanal se ve diferente de una estrategia minorista omnicanal, ambas aplican los mismos principios. Aquí hay una ilustración simple:

En la banca omnicanal, el cliente puede acceder a sus cuentas en cualquier lugar, pagar sus facturas en cualquier lugar y obtener dinero en cualquier lugar.

En la venta minorista omnicanal, el cliente puede navegar por cualquier sitio, pagar en cualquier lugar y devolverlo a cualquier parte.

Es seguro suponer que la mayoría de las empresas ya tienen la parte “todos los canales” cubierta, pero el principio básico que establece el enfoque omnicanal aparte del enfoque multicanal es su enfoque: Omnichannel presta más atención a cómo la organización interactúa con el cliente y menos en la transacción real. La interacción entre el cliente y la organización es perfecta, lo que significa que el cliente no encontrará topes al cambiar de un dispositivo a otro en el medio de una compra, independientemente del canal que elija el cliente.

Debido a que la comunicación entre canales también ocurre en el backend, la organización puede anticipar las necesidades futuras, los deseos y los me gusta de un cliente, que luego usan para (1) adaptar sus lanzamientos y / o anuncios y (2) comunicar mensajes al cliente consistentemente a través de los canales.

Una estrategia omnicanal eficaz y exitosa fomenta una relación más profunda entre el cliente y la organización, lo que a su vez se traduce en clientes valiosos , leales y felices.

Cuando una nueva estrategia introduce nuevos riesgos de seguridad

Los riesgos son inevitables cuando una organización sufre un cambio estratégico. Ya es lo suficientemente desafiante para que las organizaciones dejen que sus canales comiencen a hablar entre ellos como parte del impulso para mejorar la experiencia del cliente. Ahora que los clientes están más informados, conectados y tienen más conocimiento sobre lo que quieren y lo que no quieren encontrar cuando interactúan con una marca, influyen de manera significativa y dan forma a la manera en que los minoristas responden.

¿Y por qué no? Hoy en día, es relativamente fácil para los clientes dejarse llevar por una marca que no responde a su creciente demanda de una experiencia global más rápida, personalizada y flexible.

Abordar dichas demandas conduce inevitablemente a la introducción de nuevas formas en que los consumidores pueden comprar, un aumento en la disponibilidad de opciones de cumplimiento y una mayor disponibilidad de nuevas opciones de pago para los usuarios. Por supuesto, cuando se trata de un traspaso de dinero, producto o datos, el fraude le está pisando los talones.

Tipos de fraude en omnicanal

Las organizaciones que buscan adoptar un enfoque omnicanal también deben buscar formas de proteger los datos de los usuarios, las cuentas de usuario y los datos financieros confidenciales (si es que aún no lo han hecho), además de proteger sus activos físicos y digitales. A continuación, hemos identificado varios tipos de fraude que se encuentran en un entorno minorista omnicanal. (Tenga en cuenta que algunos de ellos también se pueden encontrar en entornos minoristas multicanal):

  • Fraude de tarjeta no presente (CNP). Una estafa bien conocida en la que un estafador usa una tarjeta robada y detalles del propietario para realizar compras en línea o por teléfono. Como el defraudador no puede mostrarle la tarjeta al minorista para una inspección visual, se saldrá con la compra fraudulenta.
  • Fraude transfronterizo o de canales cruzados. Los estafadores roban credenciales e información personal confidencial utilizada por su objetivo en un canal para que puedan cometer fraude a otro o a un canal asociado.
  • Fraude de clic y recopilación. Esto también se conoce como el fraude “compre en línea, recoja en la tienda”. Esto ocurre cuando un estafador, armado con los detalles de la tarjeta robada y los detalles de los propietarios reales (para la copia de seguridad), compra en línea y luego recoge el artículo de la tienda. La compra se marca como fraudulenta.
  • Fraude de pruebas de tarjetas. También conocida como “prueba del número de tarjeta robada”, esta táctica se produce cuando los estafadores utilizan el sitio web de un comerciante para probar si las credenciales de tarjeta robada siguen siendo válidas realizando compras pequeñas e incrementales. De acuerdo con Radial, una compañía de soluciones omnicanal, ha habido un aumento del 200 por ciento en el fraude con pruebas de tarjetas en 2017.
  • Fraude de devolución Esto viene en muchas formas y tamaños. Un tipo, que es el fraude amigo, ocurre cuando un comprador aparentemente legítimo compra un artículo en línea, lo recibe y luego contacta al emisor de su tarjeta para reclamar que nunca recibió el artículo que compró. El fraude de devolución también ocurre cuando un comprador compra productos electrónicos, saca sus partes costosas y luego devuelve el artículo a la tienda.
  • Fraude de pago móvil. En un mundo que ahora se describe como “primero para dispositivos móviles”, es lógico esperar que el fraude nacido del uso de dispositivos móviles supere el fraude web. Y lo ha hecho . Antes, los navegadores móviles generalmente eran el punto de origen de dicho fraude; hoy en día, el fraude se puede hacer a través de aplicaciones móviles.

Abordar el fraude omnicanal

Con la cantidad actual de fraudes a los que las organizaciones omnicanal son vulnerables, es imprescindible un enfoque unificado para resolverlos. Ya hay proveedores de servicios de soluciones de terceros a los que una organización puede acercarse para ayudarlos en esto. Sin embargo, hay formas prácticas en que las organizaciones pueden hacer y apoyarse, especialmente si el presupuesto es particularmente ajustado, para cortar el fraude de raíz.

Haga un seguimiento del fraude en sus canales. Esto permite a las organizaciones identificar los defectos en cada uno de sus canales para que puedan adaptar su estrategia de seguridad. Considere armar un departamento exclusivo para supervisar esta tarea y administrar los datos. Con un equipo o una persona enfocada en evaluar, identificar y encontrar formas de mitigar el riesgo de la empresa contra el fraude, sería más fácil obtener respaldo ejecutivo, especialmente cuando es momento de invertir fondos en herramientas de protección más sofisticadas a medida que la empresa crece. .

Vamos con una estrategia de prevención de fraude. Y esto solo puede hacerse después de que los datos de los canales de seguimiento se hayan recopilado y analizado. Recuerde que para que una estrategia de prevención de fraude (o cualquier estrategia para ese asunto) sea efectiva, debe diseñarse en función de las necesidades actuales y futuras de la organización.

Implementar la autenticación de múltiples factores (MFA) . La autenticación es la primera línea de defensa contra el fraude, por lo que es mejor tener al menos dos formularios implementados que no usar ningún protocolo de autenticación. Pero las organizaciones deben asegurarse de que los métodos de autenticación que desean adoptar sean confiables y difíciles de interceptar. Dicho esto, la autenticación SMS ya no debería ser una opción.

Si los consumidores desean una experiencia uniforme y consistente en todos los canales, deben esperar lo mismo en lo que respecta a la autenticación de identidad. Si bien una verdadera autenticación omnicanal aún está en su infancia, muchas organizaciones ya reconocen su importancia y potencial. Estas son buenas noticias y las organizaciones deben vigilarlas.

Cifrar datos. Es una de las formas fundamentales en que una organización puede proteger el intercambio de datos entre sus clientes y sus sistemas. Sin embargo, todavía hay organizaciones que transfieren, comparten y almacenan datos confidenciales en formato legible para humanos. Probablemente piensen que todavía está bien hacer esto en la era de las infracciones, incluso cuando los métodos de encriptación punto a punto ya están disponibles para que las empresas los utilicen. Pero aquí está la verdad: esto. No debería. Ser. Sucediendo. Más .

Estimada organización, no sea esa compañía.


Leer: Cifrado: tipos de comunicación y almacenamiento seguros


Asegure su sitio web de comercio electrónico. Los principios que aprendimos en Seguridad 101 se aplican aquí: mantenga su software actualizado, use alojamiento HTTPS, use contraseñas seguras (especialmente para aquellos con cuentas de administrador), haga copias de seguridad de los datos regularmente y use software de seguridad . Además, agregamos apresuradamente que no se almacenan datos confidenciales en su servidor. En cambio, use una solución de pago de terceros para realizar transacciones de pago seguras entre la organización y sus clientes.

La tienda del futuro y la ciberseguridad: pensamientos finales

Ir omnicanal es una tendencia continua que no desaparecerá en el corto plazo. En el sector minorista, las demandas y expectativas actuales de los clientes son altas, y se espera que las empresas las cumplan o superen. Hacerlo le da a las organizaciones una ventaja sobre sus competidores, sin mencionar que evolucionar a omnicanal es una forma segura de proteger sus negocios en el futuro. Sin embargo, las organizaciones deben tener esto en cuenta: si el enfoque omnicanal aumenta la comodidad del usuario, también puede ser conveniente para los estafadores.

Si bien el crecimiento general es el objetivo principal de una empresa, las consideraciones de ciberseguridad no deben despriorizarse. En un entorno omnicanal, la exposición a fraudes, malware y otros delitos digitales aumenta. Como tal, se deben proteger muchos más activos.