Una nueva red de fraude llamada Proxy Phantom está utilizando sofisticados métodos de ataque de relleno de credenciales para apoderarse de las cuentas de los clientes de los comerciantes de comercio electrónico con sede en EE. UU.
La investigación más reciente de la firma de confianza y seguridad digital Sift demuestra la incesante innovación de los estafadores y refuerza la necesidad de los minoristas de duplicar la protección contra el fraude a medida que se acerca rápidamente la temporada de compras navideñas.
El análisis, que Sift reveló el mes pasado, es parte de un informe más amplio basado en los datos agregados de la plataforma de Sift y una encuesta de consumidores de 1,000 encuestados sobre el aumento en los ataques de adquisición de cuentas (ATO) durante el último año.
El Índice de seguridad y confianza digital del tercer trimestre de 2021 de Sift detalla los métodos en evolución que emplean los estafadores para lanzar ataques ATO contra consumidores y empresas. El informe detalla una red de fraude sofisticada que buscaba abrumar a los comerciantes de comercio electrónico innovando en las campañas típicas de relleno de credenciales.
La red de fraude Proxy Phantom usó un grupo masivo de direcciones IP rotativas conectadas para llevar a cabo ataques automatizados de relleno de credenciales para piratear cuentas de usuarios en sitios web de comerciantes.
Utilizando más de 1,5 millones de combinaciones de nombre de usuario y contraseña robadas, el grupo inundó las empresas con intentos de inicio de sesión basados en bots para realizar hasta 2691 intentos de inicio de sesión por segundo. El tráfico entrante parecía provenir de lugares aparentemente diferentes.
“Como demuestra el descubrimiento de la red de fraude Proxy Phantom, los estafadores nunca dejarán de adaptar sus técnicas para abrumar la prevención de fraude tradicional, haciendo que los inicios de sesión sospechosos parezcan legítimos y los legítimos parezcan sospechosos”, dijo Jane Lee, arquitecta de confianza y seguridad de Sift.
Al mismo tiempo, los malos hábitos de seguridad de los consumidores, como la reutilización de contraseñas para varias cuentas, facilitan y continúan dando vida a la economía del fraude. Para reforzar sus defensas digitales y proteger las cuentas de los clientes, los comerciantes deben adoptar una estrategia de confianza y seguridad digital para detener estos ataques avanzados antes de que destruyan la lealtad del consumidor y sofoquen el crecimiento, dijo.
Detalles del ataque
Los investigadores se basaron en datos de la red global de Sift de más de 34 000 sitios y aplicaciones y en su encuesta. El informe examina el crecimiento y la evolución de ATO. Integra las percepciones y preocupaciones de los consumidores en torno a los ataques de apropiación de cuentas.
Los aspectos interesantes:
- Los atacantes utilizaron un gran grupo de direcciones IP rotativas, que creció 50 veces. Los atacantes combinaron métodos tradicionales con tácticas de relleno de credenciales para piratear cuentas de usuarios en sitios web de comerciantes.
- El grupo de ataque utilizó 1,5 millones de credenciales robadas para inundar las empresas con intentos de inicio de sesión basados en bots para saturar los servidores corporativos.
- Los comerciantes objetivo que utilizan métodos de prevención de fraude basados en reglas se ven obligados a jugar un juego global sobrealimentado de «golpear un topo».
Los comerciantes de la red de Sift estaban protegidos contra los ataques, ya que la plataforma de Sift bloqueó los clústeres de IP de Proxy Phantom, según Jeff Sakasegawa, arquitecto de confianza y seguridad de Sift.
El pirateo de cuentas explota durante la pandemia
El informe del tercer trimestre de Sift también reveló un asombroso aumento del 307 % en los ataques ATO entre abril de 2019, cuando se promulgaron muchas órdenes de quedarse en casa por el Covid-19, y junio de 2021. Este método de ataque representó el 39 % de todos los fraudes bloqueados en la red de Sift en Q2 2021 solo.
Hasta el momento, los investigadores no tienen pistas sobre la ubicación o el tamaño de este nuevo grupo de fraude Proxy Phantom.
«No podemos decir definitivamente de dónde se originaron los ataques porque usaron VPN para disfrazar sus ubicaciones, haciendo que los ataques parecieran provenir de lugares de todo el mundo», dijo Sakasegawa al E-Commerce Times.
Los ataques de Credential Stuffing son anticuados. Pero los atacantes han agregado algunos trucos nuevos para armar mejor su arsenal digital.
“Los ataques de relleno de credenciales son generalizados y comunes, pero el uso de la automatización para rotar cantidades masivas de direcciones IP junto con el relleno de credenciales es una versión particularmente sofisticada del ataque”, dijo.
Si bien esta no es la primera vez que los estafadores emplean esta técnica, es una que parece estar ganando terreno porque hace que bloquear a los atacantes sea mucho más difícil para las empresas, agregó Sakasegawa.
Fintech también bajo fuego
Los datos de la red de Sift descubrieron un riesgo ATO significativo para el sector de fintech y servicios financieros y sus usuarios. Los ataques de ATO contra el sector fintech se dispararon un 850 % entre el segundo trimestre de 2020 y el segundo trimestre de 2021. Estos ataques se debieron principalmente a una concentración en los intercambios de criptomonedas y las billeteras digitales, donde los estafadores probablemente intentarían liquidar cuentas o realizar compras ilícitas.
Además, casi la mitad (49 por ciento) de los consumidores encuestados como parte del informe se sienten en mayor riesgo de ATO en los sitios de servicios financieros en comparación con otras industrias, y por una buena razón. De las víctimas de ATO encuestadas, el 25 por ciento fueron estafadas en sitios de servicios financieros, lo que valida el sentimiento público de que estos sitios son algunos de los más riesgosos.
cascada del caos
El Sift Index también pinta una imagen detallada de los efectos dominó de los ataques ATO en empresas y consumidores por igual. Los hallazgos clave incluyen:
- El compromiso genera compromiso: casi la mitad (48 por ciento) de las víctimas de ATO han visto sus cuentas comprometidas entre dos y cinco veces.
- ATO conduce directamente al abandono de la marca: el setenta y cuatro por ciento de los consumidores encuestados dicen que dejarían de interactuar con un sitio o aplicación y seleccionarían otro proveedor si su cuenta fuera pirateada en ese sitio o aplicación.
- Las consecuencias de un ataque ATO: al cuarenta y cinco por ciento de los que experimentaron ATO les robaron dinero directamente, mientras que el 42 por ciento tenía una tarjeta de crédito almacenada u otro tipo de pago utilizado para realizar compras no autorizadas. Más de uno de cada cuatro (26 por ciento) perdió créditos de lealtad y puntos de recompensa a manos de los estafadores.
- Quizás lo más preocupante: casi una de cada cinco (19 por ciento) de las víctimas no está segura de las consecuencias de que sus cuentas se vean comprometidas.
- Disminución de la confianza en el comercio electrónico: uno de cada cinco (20 por ciento) de los consumidores encuestados se siente menos seguro comprando en línea hoy que hace un año.
“Una de las conclusiones más importantes del informe es que el compromiso genera compromiso cuando se trata de ATO”, dijo Sakasegawa. “Las empresas deben suponer que algún porcentaje de sus clientes tienen una mala higiene de contraseñas. Si ese es el caso, necesitan las herramientas adecuadas para identificar y evitar que ocurran ATO”.
Los malos actores saben que un inicio de sesión exitoso en un sitio probablemente significa que pueden ingresar a otros usando las mismas credenciales. Los consumidores deben pensar dos veces antes de reutilizar una contraseña la próxima vez que se registren para obtener una cuenta o se les solicite restablecer la contraseña, recomendó.
ATO conduce al abandono de marcas
El informe de Sift encontró que ATO conduce directamente al abandono de la marca. Casi tres de cada cuatro (74 por ciento) de los consumidores dicen que dejarían de interactuar con un sitio/aplicación y seleccionarían otro proveedor si una cuenta fuera pirateada, señaló Sakasegawa.
Un ataque ATO contra un cliente tiene un impacto duradero en la lealtad. Es imperativo que las marcas aborden el creciente problema, especialmente antes de la temporada de compras navideñas, cuando los estafadores pueden pasar desapercibidos más fácilmente dentro del aumento de la actividad de la cuenta, agregó.
Aprendizaje automático necesario para la protección
Es una carrera armamentista entre empresas y estafadores en lo que respecta a la protección cibernética, según Sakasegawa. El crecimiento sostenido del comercio electrónico hace que sea más fácil para los estafadores atacar a las empresas y más difícil para las empresas protegerse contra el aumento de los ataques.
“Los estafadores tienen el tiempo, los medios y la motivación para atacar, y tienen más conocimientos sobre la mecánica del comercio digital y los comerciantes legítimos a los que se dirigen”, dijo.
Además, los estafadores usan los foros de la Deep Web como Telegram para compartir formas exitosas de explotar empresas y clientes. Sin embargo, las empresas no tienen los recursos para tener conversaciones similares con sus pares sobre cómo prevenir explotaciones por razones legales y de divulgación. Eso, a su vez, hace que sea aún más difícil para los minoristas defenderse, observó Sakasegawa.
“La única forma de luchar proactivamente contra este comportamiento sofisticado es aprovechar el aprendizaje automático. ML es esencial no solo para identificar nuevas tendencias sino también para cambiar los umbrales de riesgo”, ofreció.
Sakasegawa agregó que con una solución de prevención de fraude basada en ML primero, los equipos de fraude pueden detectar tendencias antes de que se generalicen y prepararse de manera proactiva para las fluctuaciones. Al ingerir compras en tiempo real, los sistemas de ML pueden adaptarse rápidamente para buscar nuevas señales para detectar actividades sospechosas, lo que hace que la prevención del fraude sea eficiente, sin generar fricciones indebidas para los clientes.
