Back

Credential stuffing

-A A +A

Share

Credential stuffing. ¿Qué es?


En un mundo de dispositivos inteligentes (teléfonos inteligentes, televisores inteligentes, asistentes inteligentes, incluso automóviles inteligentes), las contraseñas son la forma más común que usan los piratas informáticos para comprometer cuentas y acceder a datos personales.

Credential stuffing es un tipo de ataque cibernético en el que las credenciales de cuentas robadas, que suelen consistir en listas de nombres de usuario y/o direcciones de correo electrónico y las contraseñas correspondientes (a menudo de una violación de datos), se utilizan para obtener acceso no autorizado a las cuentas de usuario a través solicitudes de inicio de sesión automatizadas dirigidas contra una aplicación web*.

En realidad, esta es una técnica muy simple que usan los piratas informáticos. Considere la siguiente situación:

  1. John creó contraseña especial, que es una combinación de letras mayúsculas y minúsculas, números y caracteres especiales. Como no quiere recordar varias contraseñas, creó una que pueda usar en varios sitios web.
  2. Luego utiliza esta contraseña para acceder a sus sitios web preferidos, como una aplicación de entrega de alimentos, la red social donde publica fotos familiares, un sitio de podcasts, su cuenta de correo electrónico personal y su cuenta bancaria en línea. También la utiliza para acceder a la banca en línea.
  3. Su sitio web favorito de podcasts se vio comprometido y el administrador del sitio web no está al tanto del incidente. Se filtraron miles de combinaciones de ID de inicio de sesión y contraseña, incluida la de John, y los piratas informáticos se las intercambiaron en secreto.
  4. Los piratas informáticos utilizan estas combinaciones de contraseña e ID de inicio de sesión válidas e intentan acceder a varios sitios web. Con el tiempo, acceden con éxito a los datos de John, incluidos en sus sitios web de interés: su número de teléfono, dirección completa, correo electrónico personal y dónde trabaja. También hay un extracto bancario que descargó y envió a su cuenta de correo electrónico la semana anterior.
  5. Una semana después, recibe una llamada misteriosa de alguien que supuestamente pertenece al equipo de prevención de fraude del banco, solicitando un código que se envió a su teléfono celular. Siente que algo podría estar mal y decide llamar al banco, así descubre que fue un intento de fraude.

 

¿Cómo puedo evitar el Credential stuffing?

No utilice la misma contraseña en diferentes sitios web de interés personal y profesional. Utilice una contraseña única para Cathay Bank, que no sea igual o similar a cualquiera que utilice en otros sitios web.

Siempre que sea posible, cree diferentes contraseñas en sitios web con diferentes contextos, especialmente aquellos que puedan afectar sus finanzas. Los bancos generalmente requieren una autenticación intensiva cuando se detecta una transacción inusual, se usa un nuevo dispositivo o el tipo de actividad y/o monto solicitado no coincide con el perfil del cliente.

Esto se realiza comúnmente con un código adicional enviado al teléfono celular del usuario. No proporcione este código a nadie; está destinado a ser utilizado en sistemas informáticos.

 

*Fuente: Wikipedia.com



Cathay Bank

La comunicación por correo electrónico no es segura

No incluya información sensible como los números de cuenta u otra información personal como el número del Seguro Social o número de identificación tributaria, número de licencia de conducir, etc. en ningún correo electrónico que nos envíe mediante este enlace.

Continuar