Las dos organizaciones líderes de ciberseguridad han publicado un boletín conjunto para combatir el Skimming en línea.

 

Una amenaza creciente que todos los comerciantes y proveedores de servicios deben tener en cuenta es el Skimming Online (en línea o basado en la web). Estas acciones afectan a todos aquellos sitios web que requieren de pasarela de pago, como ahora el comercio electrónico.

¿En qué consiste esta técnica?

El Skimming Online consiste en infectar a una web de comercio electrónico con código malicioso, conocido como rastreadores de JavaScript (JS), y que como consecuencia supone una gran dificultad para ser detectados en el sistema.

Cuando un sitio web se ve infectado, la información de la tarjeta de pago se «descrema» durante la transición sin que el comerciante o el consumidor sepan que la información ha sido comprometida. Existe un término que generalmente se emplea para describir esta amenaza: Magecart.

¿Cómo funcionan estos ataques?

Mediante diferentes medios y métodos, con el objetivo de obtener acceso e inyectar dicho código malicioso

  • Explotación de complementos vulnerables
  • Intentos de inicio de sesión mediante fuerza bruta
  • Phishing y otras técnicas

¿Pero quién más está en peligro?

No solo los comercios electrónicos, también aplicaciones y bibliotecas de software de terceros en las que confían los clientes. Los proveedores de estos servicios no son conscientes de los riesgos a los que exponen a sus clientes si no velan por su propia seguridad y amenazas a las que están en constante exposición.

Funciones web como chat en vivo y calificación del cliente serían solo algunos de los ejemplos a los que se exponen los proveedores, funciones las cuales dependen de librerías como la de JavaScript que podría ser distribuida con malware de forma masiva. De esta forma, el código puede activarse cuando la víctima (inconscientemente) envía su información de pago durante la adquisición. El código por tanto, es capaz de registrar los datos de pago localmente en el sitio web comprometido o de forma remota desde un equipo controlado por los actores.

¿Cuáles son algunas de las mejores prácticas de detección?

  • Empleo de herramientas de evaluación de seguridad de vulnerabilidades para aplicaciones y web.
  • Monitorización de la integridad de los archivos o detección de cambios en éstos.
  • Exploraciones periódicas de vulnerabilidad de la red, tanto interna como externa.
  • Realizar pruebas de pentesting para identificar las debilidades de seguridad.

¿Cuáles son las mejores practicas para prevenir?

  • Implementar protección contra malware y mantenerse al día de las amenazas.
  • Aplicación de parches de seguridad y actualización en todos los softwares de la organización.
  • Restringir el acceso solo a lo necesario, evitando el resto de forma predeterminada.
  • Emplear recursos de autenticación fuerte para los accesos a los diferentes componentes del sistema.

En palabras del PCI Security Standards Council

Troy Leach, Director de Tecnología (CTO) del Consejo de Estándares de Seguridad PCI:

  • «Hemos escuchado de muchos de nuestros interesados ​​en la comunidad de pagos que estos tipos de ataques son una tendencia creciente para muchas empresas, grandes y pequeñas»
  • «Sentimos que, como líder en seguridad de pagos, ahora era el momento de emitir un boletín con nuestros amigos y colegas del sector minorista y hotelero que luchan diariamente contra estas amenazas»
  • «Sin embargo, hay formas de prevenir estos ataques difíciles de detectar»
  • «Un enfoque de defensa en profundidad con un compromiso continuo con la seguridad, especialmente por parte de socios externos, ayudará a evitar convertirse en una víctima de esta amenaza»
  • «Seguir las pautas y los estándares PCI SSC, como la revisión periódica del software y el seguimiento cercano de los cambios en el entorno, puede ayudar a defenderse de estos ataques»
  • «Ahora más que nunca, las organizaciones necesitan hacer de la seguridad cibernética una prioridad cotidiana», «Estos ataques pueden afectar a una empresa tanto grande como pequeña. Todos deben comprender que son un objetivo y deben tener un plan para proteger sus datos «

En palabras de Retail y Hospitalidad ISAC

Carlos Kizzee, Vicepresidente, Inteligencia, Retail y Hospitalidad ISAC

  • «Estas técnicas de ataque son cada vez más importantes para la industria minorista y hotelera»
  • «Es importante que las empresas conozcan mejor la naturaleza de estos ataques y los controles de seguridad necesarios para detectarlos y derrotarlos»
  • «Debemos esforzarnos por garantizar que la atención enfocada, el compromiso y la colaboración entre pares en los esfuerzos de ciberseguridad del comercio electrónico dentro de la industria minorista y hotelera superen el crecimiento y la evolución de amenazas como estas»
  • “El boletín que publicamos hoy conjuntamente debería ser un llamado a la acción para aquellos en la comunidad empresarial para mejorar su conocimiento y vigilancia contra estas técnicas. Nadie debería suponer que no podrían o no serán utilizados para apuntar a su empresa «

 

 

Fuente original: PCI SSC