¿Cuáles son algunos de los métodos habituales de ataque de robo de contraseñas?
No importa qué tipo de ataque de contraseña se esté utilizando, el objetivo final del atacante es «falsificar» su identidad mediante el uso de su contraseña comprometida y autenticarse con éxito como usted. Estos son los métodos más comunes para robar o comprometer contraseñas para obtener una entrada no autorizada.
Tipo de ataque n. ° 1: relleno de credenciales
El relleno de credenciales ocurre cuando un atacante ya tiene acceso a combinaciones de nombre de usuario y contraseña que comúnmente se obtienen de violaciones de datos. En este tipo de ataque, los atacantes envían solicitudes automáticas que contienen estas combinaciones de nombre de usuario y contraseña para intentar autenticarse con éxito como usted. Si tiene éxito, los atacantes pueden robar sus datos confidenciales, realizar cambios en su cuenta o incluso hacerse pasar por usted. Un ataque de relleno de credenciales dirigido puede tener éxito en un solo intento, mientras que una campaña a gran escala puede probar millones de combinaciones en un solo sitio.
Para combatir los ataques de relleno de credenciales, asegúrese de no reutilizar contraseñas en todos los sitios. Controle sus credenciales para verificar que no hayan sido expuestas en una violación de datos con un servicio como haveibeenpwned.com . Si alguna vez sus contraseñas se ven comprometidas, cámbielas de inmediato.
Tipo de ataque n. ° 2: Técnicas para descifrar contraseñas
Existen varias técnicas de descifrado de contraseñas que los atacantes utilizan para «adivinar» las contraseñas de sistemas y cuentas. Las tres técnicas de descifrado de contraseñas más comunes que vemos son los ataques de fuerza bruta, los ataques de diccionario y los ataques de tabla de arco iris.
En un ataque de diccionario, un atacante utilizará una lista de palabras del diccionario y combinaciones de palabras del diccionario para intentar adivinar la contraseña. Pueden usar palabras de diccionario individuales o una combinación de palabras de diccionario, sin embargo, la simplicidad de tener una lista de diccionario es lo que hace que este sea un método de ataque atractivo para los atacantes.
Un ataque de fuerza bruta lleva las cosas un poco más lejos que un ataque de diccionario. Un atacante probará varias combinaciones diferentes de letras, números y caracteres especiales para intentar «adivinar» la contraseña correcta. Establecer recursos para automatizar los ataques de fuerza bruta es fácil y económico, y los atacantes generalmente terminan con grandes bases de datos de credenciales debido a que los usuarios usan contraseñas débiles.
Un ataque de tabla de arco iris ocurre cuando un atacante usa una tabla de hashes precalculada basada en contraseñas comunes, palabras de diccionario y contraseñas precalculadas para intentar encontrar una contraseña basada en su hash. Esto suele ocurrir cuando un atacante puede obtener acceso a una lista de contraseñas hash y quiere descifrar las contraseñas muy rápidamente. En muchos casos, las violaciones de credenciales solo contienen contraseñas con hash, por lo que los atacantes a menudo usarán ataques de tabla de arco iris para descubrir las versiones de texto sin formato de estas contraseñas para su uso posterior en ataques de relleno de credenciales.
Los ataques de descifrado de contraseñas son bastante comunes y uno de los tipos de ataques más frecuentes junto al relleno de credenciales. Los sitios de WordPress a menudo son un objetivo importante de estos ataques.
Las contraseñas débiles pueden tardar segundos en descifrarse con las herramientas adecuadas, por lo que es increíblemente importante usar contraseñas sólidas y únicas en todos los sitios.
Tipo de ataque n. ° 3: surf de hombro
La navegación de hombro ocurre cuando un transeúnte malintencionado observa la información confidencial que escribe en su teclado o en su pantalla por encima del hombro.
Esto puede ocurrir en cualquier lugar, ya sea en un espacio de oficina, en una cafetería, en un avión, etc. Cualquier lugar al que acceda o ingrese información confidencial mientras se encuentra en un lugar público puede poner en riesgo sus contraseñas. Si no es consciente de su entorno al iniciar sesión en sitios en espacios públicos o en su oficina, puede ser víctima de este ataque.
Sea consciente de su entorno cuando se autentique en sitios o recursos y asegúrese de que nadie lo esté mirando. Las pantallas de privacidad que bloquean la visibilidad de la pantalla pueden ser protectoras si trabaja con frecuencia en espacios públicos.
Tipo de ataque n. ° 4: Ingeniería social
La ingeniería social apunta al eslabón más débil de la seguridad: los seres humanos. Estos ataques son increíblemente comunes y, a menudo, bastante exitosos. La ingeniería social es principalmente un ataque psicológico que engaña a los humanos para que realicen una acción que de otro modo no harían basándose en la confianza social. Por ejemplo, un atacante podría acceder mediante ingeniería a una instalación física corporativa. Una vez dentro, podrían acercarse a un empleado y decirle que están solucionando un problema con un servicio muy específico y que sus credenciales no funcionan.
La ingeniería social puede ocurrir de muchas maneras, incluso en persona, por teléfono, a través de las redes sociales, a través del phishing por correo electrónico. Para protegerse, verifique la identidad de cualquier persona que solicite información confidencial o contraseñas. Nunca comparta información confidencial, especialmente sus contraseñas, con alguien que no conoce, en quien no confía o no puede verificar. Si es posible, nunca comparta sus contraseñas con nadie, incluso si confía en ellos.
Si tiene empleados, pídales que participen en la capacitación de concienciación sobre seguridad para aprender a reconocer diferentes ataques de ingeniería social y prepararse para informar y alertar a otros cuando un presunto ataque de ingeniería social se dirija a una organización.
Nunca proporcione información confidencial o contraseñas a extraños, independientemente de quienes afirmen ser. Si un técnico de la mesa de ayuda lo llama para decirle que necesita sus credenciales, verifique primero con su jefe o simplemente diga que no. En la mayoría de los casos, los proveedores de servicios acreditados tienen formas alternativas de obtener información que no requieren sus credenciales.
Tipo de ataque n. ° 5: phishing
Aunque a menudo se considera una subcategoría de la ingeniería social, el phishing es tan frecuente que merece su propia categoría de «ataque». El phishing ocurre cuando un atacante crea un correo electrónico para que parezca que proviene de una fuente legítima con el fin de engañar a la víctima para que haga clic en un enlace o proporcione información confidencial como contraseñas, números de seguridad social, información de cuentas bancarias y más. Estos correos electrónicos pueden variar desde bellamente elaborados e imperceptiblemente cerca del trato real hasta ridículamente simples y obviamente falsos.
Los ataques de phishing dirigidos, conocidos como spear phishing, son increíblemente efectivos y, a menudo, parecen provenir de una fuente confiable, como un jefe o un compañero de trabajo. Si recibe un correo electrónico de alguien en quien confía pidiendo algo inusual, verifique que lo envió la persona que parecía haberlo enviado llamándolo por teléfono, hablando con él en persona o usando algún otro método de comunicación.
Verifique la fuente de cualquier correo electrónico que reciba revisando los encabezados del correo electrónico. También le recomendamos que evite proporcionar información confidencial a alguien en quien no confía plenamente. Nunca haga clic en los enlaces de los correos electrónicos, ya que a menudo pueden conducir a kits de phishing diseñados para recopilar sus credenciales y entregarlas a los atacantes. Para verificar la validez de la información que se le envió por correo electrónico, cierre su correo electrónico y escriba el nombre de la institución que supuestamente envió el correo electrónico en la barra de ubicación de su navegador para iniciar sesión en su sitio.
Tipo de ataque n. ° 6: Sniffing inalámbrico
Un atacante que utilice herramientas para examinar el tráfico de la red puede «olfatear» la red para capturar y leer los paquetes de datos enviados. El rastreo inalámbrico captura los datos que se envían entre la computadora de un usuario desprevenido y el servidor al que el cliente realiza la solicitud. Si un sitio no usa un certificado TLS / SSL, un atacante con estas herramientas puede obtener fácilmente sus contraseñas simplemente capturando los paquetes que se envían.
Utilice una VPN cuando acceda a sitios en redes wifi públicas para que un atacante no pueda capturar y leer sus datos fácilmente. Si su sitio de WordPress no utiliza un certificado TLS / SSL, sus credenciales de WordPress se enviarán en texto plano cada vez que inicie sesión. Asegúrese de tener un certificado TLS / SSL instalado en su sitio de WordPress para ayudar a mantener los datos de los visitantes de su sitio, incluidas las contraseñas, seguros en tránsito.
Tipo de ataque n. ° 7: ataque de hombre en el medio
Un ataque Man-in-the-Middle ocurre cuando un atacante intercepta el tráfico, actuando como el servidor receptor de solicitudes y posteriormente observando todo el tráfico que se envía al servidor que está atacando antes de reenviar los paquetes al servidor legítimo. Esto puede ocurrir en muchas situaciones diferentes, desde acceder a un sitio web desde su hogar hasta acceder a recursos en una oficina.
Su mejor protección cuando se trata de ataques man-in-the-middle es asegurarse de que el sitio que está visitando sea confiable y que el certificado SSL / TLS instalado en el sitio sea válido. Google le alertará si hay algo sospechoso sobre el certificado SSL / TLS en un sitio, así que si recibe esa advertencia, asegúrese de evitar ingresar información confidencial o contraseñas en ese sitio. También puede usar una VPN para que sus datos permanezcan encriptados al atravesar cualquier red.
Fuente: https://www.wordfence.com/blog/2020/10/common-ways-attackers-are-stealing-credentials/
