CIBERSEGURIDAD

El clic de la muerte: por qué el comercio electrónico debe trabajar más duro para frustrar a los atacantes

¿Qué hay detrás del simple clic del mouse de una computadora para realizar una compra en una página web? Para la mayoría, es el último paso de la compra de un artículo y es lo suficientemente inocuo como para hacerlo en piloto automático. Simplemente cómprelo y olvídese de él hasta que el artículo llegue a la puerta de su casa. Pero, ¿qué sucede cuando ese paso final tiene algo desfavorable en el fondo que podría ser enormemente perjudicial tanto para el consumidor como para la marca de la que está comprando? Es un riesgo del que todos debemos ser conscientes y tomar medidas para contrarrestarlo.

Se espera que el comercio electrónico sea responsable de $ 6.5 billones en ventas a nivel mundial para 2023, más del doble de los ingresos en comparación con 2018. Pero cuando se trata de compras en línea, los proveedores deben ser conscientes de los riesgos de seguridad que plantean los ataques a la cadena de suministro. Por supuesto, estos no siempre provienen de los sitios de compras; de hecho, eso es parte del problema. Incluso las plataformas de comercio electrónico más herméticas pueden ser defraudadas por un ‘grifo con fugas’ en otro lugar, ya sea la plataforma de logística, almacenamiento o cumplimiento de pedidos que se conecta a ella, incluidos los sitios de comercio electrónico como Missguides y Aaron Jonás.

Existen innumerables oportunidades potenciales para que los atacantes roben datos personales. Estos detalles pueden venderse con fines de lucro, usarse para cometer actos de fraude o usarse para comprar artículos sin el consentimiento o conocimiento del consumidor. Y todo esto puede perpetrarse en las tiendas online en las que los consumidores confían.

Investigando un ataque

Aquí hay un ejemplo que descubrí a fines de 2019. Alguien que conozco recibió una notificación de la compañía de su tarjeta de crédito de que estaba a punto de procesar un pago de una cantidad sustancial de dinero. No era una suma que mi conocido esperaba ver en su factura porque no era un pago que habían iniciado. Afortunadamente, la transacción aún no se había liquidado y la persona pudo comunicarse con la compañía de su tarjeta de crédito para detener la transacción. El final de la historia fue que se bloqueó la tarjeta, se envió una tarjeta de reemplazo por correo y se evitó el desastre potencial.

Bueno, ese habría sido el final de la historia si no hubiera despertado tanto mi curiosidad como profesional de la ciberseguridad. Quería saber qué sucedió, por qué sucedió y descubrir cualquier tendencia potencial que pudiera ayudar a otras personas.

Después de mirar hacia atrás a través de las tiendas en línea con las que la persona había comprado recientemente, me encontré con un valor atípico: un importante minorista de cámaras y ópticas. Nuestro amigo había hecho una compra legítima con el sitio, pero solo una vez. Allí no eran compradores habituales. La tienda es una tienda legítima y establecida en los Estados Unidos, con presencia en la calle y una tienda popular en línea. No los conocíamos en la comunidad de ciberseguridad por haber sido víctimas de violaciones recientes.

Entonces, comencé a investigar, enfocando mi atención en la página de pago del sitio web. Dado que el infame consorcio de hackers MageCart ya se ha infiltrado en muchos sitios de alto perfil al inyectar un código JavaScript para enviar todos los detalles de la tarjeta de crédito a un servidor de comando y control (C&C) propio mientras los clientes están comprobando, quería ver si esto era el caso aquí.

Finalmente, encontré lo que estaba buscando y me tomó poco más que una combinación de las herramientas de desarrollo de Chrome y las capturas de Wireshark.

Después de pasar por las conexiones de red, descubrí que los detalles de la tarjeta de crédito de los compradores en línea se enviaban a dos sitios diferentes. Uno de estos sitios era el sitio legítimo de la tienda web, mientras que el otro era más siniestro. Era fraudulento y provenía de un dominio que se simuló para que pareciera un dominio legítimo para la empresa de software de servicio al cliente Zendesk. Fue a través de este dominio que los detalles de la tarjeta de crédito se revisaron y utilizaron sin el conocimiento del cliente ni del minorista. Y debido a que este dominio de C&C se había resuelto 905 veces, es posible que hubiera casi mil víctimas.

Por supuesto, Juniper Threat Labs alertó a los propietarios del sitio sobre la amenaza y rápidamente eliminaron el código malicioso del sitio.

Comprador más seguro

Hay varias preocupaciones en juego aquí. Además del posible robo financiero, también existe un riesgo de reputación a tener en cuenta al pensar en ataques a la cadena de suministro. Empresas de cualquier tamaño pueden ser víctimas y la pérdida de la confianza de los compradores debido a estos ataques podría ser de gran alcance. Por lo tanto, es en el mejor interés de una empresa y sus clientes garantizar que los datos de todos se mantengan seguros.

Afortunadamente, es posible evitar estos ataques y evitar que se apoderen de un negocio. La respuesta radica en garantizar la integridad del código fuente del sitio. Una vez que está completamente protegido, es increíblemente difícil para los malos actores infiltrarse en el sitio y causar caos. Esto se debe a que es a través de la manipulación del código fuente que los atacantes pueden inyectar código JavaScript malicioso para ‘escanear’ información, ya sea explotando la vulnerabilidad de un servidor o comprometiendo una biblioteca de terceros.

Una herramienta útil en el arsenal es la supervisión de hash de archivos. Es una solución simple que podría ser la salvadora de un sitio minorista en línea porque genera una alarma cuando se realizan cambios inesperados en el código fuente del sitio. Vale la pena investigarlo y usarlo como una capa vital de protección.

MageCart continúa representando una amenaza significativa para las compras en línea y con las compras en línea tan frecuentes como Covid-19 obliga a las personas a evitar la calle principal, podría ser una preocupación importante para el resto de 2020. Sin embargo, no es la única forma en que el comercio electrónico los sitios pueden verse comprometidos, por lo que debe haber vigilancia en todos los aspectos por parte de las empresas que crean y operan los sitios. Los consumidores esperan que sus datos de pago se mantengan seguros y depositan el mayor nivel de confianza en el sitio en el que compran cada vez que presionan “comprar”. Al mantener un alto nivel de seguridad, es más probable que mantenga su confianza, lo que se traduce en una lealtad continua. Después de todo, esa lealtad es lo suficientemente difícil de lograr en primer lugar y aún más difícil de recuperar.

Contribuido por Mounir Hahad, jefe de los laboratorios de investigación de amenazas, Juniper Networks

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar
Cerrar