Cómo evitar ser víctima del Online Skimming

Avatar

El Web-based/Online Skimming es una amenaza creciente que compromete la seguridad de los pagos con tarjeta de crédito en los sitios de e-commerce. De forma tradicional, el término skimming hacía referencia a la clonación de tarjetas de crédito durante un pago presencial o directamente en cajeros automáticos mediante un dispositivo físico. El Online o Web-based skimming persigue robar el PAN y el CVV, datos de la tarjeta necesarios para un pago online, en este caso, mediante el uso de código malicioso insertado en plataformas de e-commerce, cuyo fin es acceder y poder replicar la información de pagos que realizan los usuarios.

Actualmente el riesgo que supone esta amenaza es tan alto, que el PCI Security Standards Council y el Retail & Hospitality ISAC han publicado un boletín extraordinario conjunto para concienciar de la importancia y acción urgente, recomendada no sólo a todos los comerciantes, sino también a proveedores de servicios y empresas de desarrollo de aplicaciones, para la detección y prevención de este tipo de ataques. 

¿Quién es el target más castigado en este tipo de ataques y cuáles son los métodos más utilizados?

El potencial target es variado: incluye cualquier sitio de e-commerce (sea bien por responsabilidad directa o indirecta), sus empresas proveedoras de servicios o aplicaciones usadas en sus sitios web.  Los ataques son constantemente adaptados al target específico con códigos customizados. Github publicó ejemplos de código similares a los usados en un skimming script. Algunos vienen enmascarados en códigos de menos de 20 líneas en las que una contiene el script malicioso; en el mostrado, los atacantes se aprovechan de una jQuery legítima:

Cómo evitar ser víctima del Online Skimming

Como táctica habitualmente empleada, el código entra en escena cuando el usuario provee PAN, CVV, y datos personales en el momento del checkout. La activación del mismo supone el robo de datos tales como nombre, teléfono, dirección, email, datos de la tarjeta de crédito, dirección de facturación. Los registros del código malicioso y la información sustraída son guardados en el sitio web comprometido de forma local, o bien en un equipo remoto controlado por los atacantes.

Para la inyección del código, se contempla cualquier método usado para obtener acceso y poder inyectar código malicioso (explotación de plugins vulnerables, login de fuerza bruta (credential stuffing), phishing y técnicas de ingeniería social). Algunos ejemplos de ataques que comprometerían aplicaciones de terceras partes son los scripts de anuncios, las encuestas de valoración sobre la satisfacción de los clientes y otras funciones, como el live chat. Dado que estas aplicaciones son usadas por más de un cliente, se produce un efecto en cadena que multiplicaría el tamaño del segmento de potencial víctima inicialmente planteado.

¿Cómo detectar si somos víctimas?

Para la detección de este tipo de amenazas, se recomienda seguir los controles incluidos en los requisitos 6, 10 y 11 de la normativa PCI DSS, en concreto:

  • Identificación de vulnerabilidades en el código mediante revisión del mismo (Req 6.3.2)
  • Uso de herramientas de auditorías de seguridad web para identificar vulnerabilidades en aplicaciones web (Req 6.6)
  • Revise los registros y los eventos de seguridad en todos los componentes del sistema para identificar anomalías o actividades sospechosas (Req 10.6)
  • Use un software de supervisión de integridad de archivos o de detección de cambios en registros (Req 11)
  • Realice análisis internos y externos de las vulnerabilidades de la red, al menos, trimestralmente y después de cada cambio significativo en la red (Req 11.2)
  • Realice pruebas de penetración para identificar (Req 11.3.1)

Recomendaciones a seguir para la prevención

Las recomendaciones sugeridas por PCI incluyen la adopción de medidas de seguridad multi-capa. Entre las claves, destacan la protección contra malware, medidas de control de restricción de acceso de usuarios, y uso de una autenticación fuerte para los componentes del sistema. Algunas de las medidas a adoptar recomendadas por el PCI Security Standards Council son las siguientes:

  • Adopción de estándares de hardening de sistemas (Req 2)
  • Implementación de protección de malware y actualizaciones (Req 5)
  • Aplicación de parches de seguridad para todo el software (Req 6)
  • Prácticas seguras de desarrollo y revisiones periódicas de las mismas (Req 6)
  • Autenticación fuerte para todos los componentes del sistema (Req 8)
  • Implementación de un sistema de detección de intrusiones (Req 11)
  • Diligencia debida con respecto a la contratación de proveedores de servicios y control del nivel de cumplimiento de PCI DSS de éstos (Req 12)

Cómo asesora A2SECURE

Desde A2SECURE se recomienda prestar especial atención a los servicios contratados por terceras partes (Req 12.8) para identificar el impacto de éstos en el alcance con respecto a la normativa PCI-DSS. La inclusión de activos de estos proveedores externos en sitios que acepten datos de tarjeta, repercute en la extensión del alcance a cualquier entorno host de los mismos e incrementa significativamente el riesgo de sufrir ataques por Online Skimming.

El PCI Security Standards Council ha reconocido, mediante la Certificación QSA, el expertise de A2SECURE para validar la adherencia de su entidad a PCI DSS. Nuestros auditores QSA pueden acompañarle en el entendimiento de los requisitos, la evaluación del nivel de cumplimiento y la implantación de medidas que le protejan de amenazas tales como el Online Skimming.

 

Autores: Paola Monforte & Guillem Cuesta

Leave a Comment

Concienciar_wafVirtual_CISO