OCHO FORMAS EN QUE LOS HACKERS USAN LOS DATOS QUE ROBAN

HACKERS, ESET

1 de marzo del 2021 | por Top Management

Campañas de Phishing, páginas de Spam, minar criptomonedas o redireccionar a los usuarios a sitios maliciosos, son algunas de las acciones que llevan adelante los cibercriminales detrás de los ataques dirigidos a sitios web.

 

El último informe de ESET, compañía especializada en detección proactiva de amenazas, ESET Threat Report Q4 2020 reveló un crecimiento del 768% de los ataques al RDP (Protocolo de Escritorio Remoto) entre el primer y el último cuatrimestre de 2020.

“Resulta más sencillo comprender la forma en que los cibercriminales monetizan el compromiso de un sitio que aloja millones de datos personales o de un sitio para realizar compras online en el que los usuarios ingresan datos sensibles a la hora de realizar un pago electrónico. El interés de los cibercriminales por comprometer sitios web no solo apunta a sitios con un gran número de visitantes o usuarios, sino que también sacan provecho de otros recursos disponibles en páginas de menor tráfico.”, menciona Martina López, Investigadora de Seguridad Informática de ESET Latinoamérica.

A continuación, ESET analiza las formas más comunes en las que los cibercriminales utilizan los sitios web comprometidos para sus fines maliciosos y porque todos los sitios pueden ser un blanco atractivo:

  1. Inyectar un backdoor: Estas puertas traseras, tal como su nombre indica, son vías de acceso “escondidas” a la vista del sistema y permiten al atacante controlar de manera remota y continua un sitio comprometido. Un backdoor permite al atacante utilizar el sitio de diversas maneras, con ventanas emergentes o publicidad indeseada, o colocar enlaces escondidos para realizar ataques de inyección de contenido SEO o utilizar el sitio para alojar algún archivo malicioso, que será referenciado en otro sitio y se descargará en el equipo de los usuarios.
  2. Ataques de defacement: Esto ocurre cuando un atacante aprovecha una vulnerabilidad para modificar la apariencia visual de un sitio web. Similar a un grafitti, los actores malintencionados plasman un mensaje en particular o su propia firma dejando en claro que son los responsables de los evidentes cambios en el sitio. En el caso de los mensajes, las motivaciones suelen ser sociales, políticas o religiosas. Usualmente dejan en claro la causa por la cual realizaron el ataque, mencionando a los culpables, que pueden ser o no los dueños del sitio víctima.
  3. Ataques de inyección de contenido SEO: Dado que la calidad y cantidad de enlaces que recibe un sitio web es un factor importante en el posicionamiento en los motores de búsqueda, los ataques de inyección SEO son aquellos en los que un atacante busca comprometer un sitio para colocar enlaces hacia otros sitios bajo su control con la intención de mejorar su posicionamiento y aumentar su alcance.
  4. Creación de páginas de spam: El objetivo de este ataque es aumentar la popularidad de un sitio en un motor de búsqueda. Como contraparte, lo inyectado en el sitio comprometido no se trata de enlaces, sino de múltiples páginas HTML que incluyen enlaces a contenido spam o contenido indeseado, como publicidad o enlaces a sitios afiliados con fines monetarios. De no ser mitigado rápidamente, la infección puede volverse profunda a un nivel tan alto que cause que a la hora de buscar un sitio en los motores de búsqueda aparezcan estas páginas inyectadas por el atacante en los resultados.
  5. Creación de mailers en PHP: Los atacantes abusan de los mailers para vulnerar el mecanismo de envío de correos del servidor de un sitio, tomando control para poder difundir sus propias comunicaciones.  Estas pueden variar desde spam o publicidad indeseada, hasta campañas de phishing para robar información o descargar malware.
  6. Distribuir campañas de phishing: El phishinges un clásico de los ataques de ingeniería social. Consiste en el envío de correos electrónicos en los que se suplanta la identidad de algún remitente confiable (por ejemplo, un banco o tienda online), el cual supuestamente solicita al receptor que haga clic en un enlace malicioso para luego ser dirigido a una página en la cual deberá ingresar sus datos personales, como credenciales o datos bancarios, con motivo de resolver alguna urgencia o problema de gravedad. El phishing es, por lejos, el método más popular de robo de información en circulación.
  7. Redireccionar a los usuarios a sitios maliciosos: Un redireccionamiento malicioso es aquel que lleva a usuarios legítimos a ingresar a una página web que no se corresponde con el enlace en el cual hicieron clic. Los sitios a los que se redirecciona a las víctimas suelen ser utilizados para ofrecer contenido spam o descargar malware en el equipo de la víctima. Según sea el código malicioso descargado en el equipo de la víctima el atacante podrá: robar información, seguir propagándose o hasta cifrar los archivos del equipo para luego pedir dinero para su rescate.
  8. Inyectar un malware para minar criptomonedas: Un atacante puede comprometer un sitio para inyectar un script y así utilizar los recursos del equipo del visitante, sin su consentimiento, para minar criptomonedas. Mediante una puerta de entrada, como un backdoor o una botnet, los atacantes pueden instalar en sitios comprometidos un minero de criptomonedas. En este ataque, lo que se aprovecha son los recursos del hosting del sitio, independientemente del tráfico que reciba. Al igual que en la mayoría de los ataques antes mencionados, esto puede ser detectado por la empresa que ofrece el servicio de hosting al sitio y, de ser así, el sitio puede ser penalizado e incluso desconectado de la web, causando que el sitio no esté disponible por un tiempo indefinido.

Etiquetas: , , , , , , ,




Comments are closed.