FBI: los ciberdelincuentes utilizaron proxies residenciales para ataques de Credential Stuffing

Publicado el: 24 de agosto de 2022

El FBI revelada la semana pasada que los ciberdelincuentes estaban usando proxies residenciales para cubrir sus huellas y evitar ser bloqueados durante los ataques de Credential Stuffing.

La agencia emitió la advertencia como una Notificación de la Industria Privada para ayudar a las plataformas de Internet a contrarrestar los ataques de Credential Stuffing con los mecanismos de defensa adecuados.

El relleno de credenciales es un tipo de ataque de fuerza bruta en el que los piratas informáticos utilizan bibliotecas de combinaciones de nombre de usuario y contraseña previamente filtradas para obtener acceso no autorizado a una variedad de plataformas en línea.

Este tipo de ataque solo funciona contra usuarios que usan las mismas credenciales de inicio de sesión (nombre de usuario, dirección de correo electrónico y contraseña) en varias plataformas. A través de este método, los ciberdelincuentes pueden potencialmente acceder a las cuentas de los usuarios sin implementar técnicas como ingeniería social, suplantación de identidado keylogging.

Dado que el relleno de credenciales es una forma de fuerza bruta, los servidores en línea aún podrían limitar estos ataques a través de mecanismos de defensa como limitar la cantidad de intentos de inicio de sesión fallidos consecutivos. Uno de los tipos de protección más básicos también implica hacer cumplir las limitaciones basadas en IP y bloquear el inicio de sesión de los usuarios de proxy.

Sin embargo, los actores de amenazas ahora han comenzado a usar proxies residenciales para ocultar su dirección IP real. Esto les permite seguir cubriendo sus huellas y evitar las listas de bloqueo de IP, ya que es menos probable que las direcciones IP residenciales tengan restricciones.

“Los ciberdelincuentes aprovechan los proxies y las configuraciones para enmascarar y automatizar los ataques de Credential Stuffing en cuentas de clientes en línea de empresas estadounidenses”, decía el anuncio del FBI de la semana pasada. “Aprovechar los servidores proxy y las configuraciones automatiza el proceso de intento de inicio de sesión en varios sitios y facilita la explotación de las cuentas en línea”.

El aviso de seguridad del FBI también enumeró las prácticas de mitigación recomendadas para que los administradores se defiendan contra el relleno de credenciales y ataques similares de descifrado de cuentas, que incluyen:

• Habilitación de la autenticación multifactor (MFA).
• Evite el uso de contraseñas que se filtraron en filtraciones de datos anteriores.
• Solicitar a los usuarios que restablezcan sus contraseñas si las actuales se han visto comprometidas.
• Uso de huellas dactilares para detectar actividades sospechosas.
• Limitación de usuarios sospechosos a través de la prohibición de la sombra.
• Supervisión de cadenas de agente de usuario predeterminadas utilizadas por las herramientas de relleno de credenciales.