Cuando las empresas utilizan las API, para interactuar con terceros, es muy importante que entiendan la exposición de seguridad asociada que están introduciendo. Es necesario pensar en ocasiones como un cibercriminal para evaluar si al utilizar API están introduciendo un problema, que podría conllevar en ataques de enumeración, o una solución para su organización. En consecuencia, se puede avanzar mediante la búsqueda de opciones que creen una experiencia perfecta para los clientes y protejan los datos críticos.
Por ejemplo, para los minoristas se utiliza el procesamiento de tarjetas de crédito de terceros para sus transacciones en línea. Los minoristas reducen la huella de sus titulares de tarjetas y la exposición al riesgo de los estándares de la industria de tarjetas de pago (PCI). Sin embargo, están descargando estos datos a un posible tercero no seguro.
En base a esto, debe plantearse si la descarga a un tercero proporcionó una solución o introdujo un nuevo problema para su organización. Es fundamental para los minoristas brindar una experiencia de cliente fluida a sus clientes y al mismo tiempo proteger sus datos críticos.
Teniendo como ejemplo el flujo de trabajo de procesamiento de tarjetas de crédito para pedidos en línea. El usuario coloca sus artículos para comprar en el carrito y comienza el proceso de pago, ingresando la información de pago y entrega.
Los piratas informáticos en esta etapa pueden enviar la transacción desde su navegador web a un proxy de intercepción para realizar un análisis del flujo de trabajo.
El flujo de trabajo en esta etapa en el proxy de intercepción muestra la información de pago que se había enviado para realizar la compra. Sin embargo, también muestra nuevos puntos finales de API adicionales en línea. Se puede observar un HTTP-POST de detalles de la tarjeta de crédito, que se ha enviado a un tercero a través de una API. La respuesta de la API de terceros incluye el token que este minorista deberá usar para igualar esta transacción y posteriormente recibir el pago.
Poniéndose en el lugar de un ciberatacante, se debe dar un paso atrás para evaluar el riesgo. De tener la información de pago, incluido el número de la tarjeta de crédito y la fecha de vencimiento, pero no el valor de verificación de crédito (CVV), ¿podría usar una técnica de enumeración para recuperar los tokens y probarlos uno por uno?
Respondiendo a esta pregunta, se eliminan las cookies, tokens, rastreadores, entre otros de la solicitud y se descubre que aún se puede recuperar un token. Se carga la solicitud del servicio de tokenización de API en el proxy de intercepción y se configura una serie de llamadas, uniendo todos los CVV posibles con la tarjeta y la fecha de vencimiento, lo que permite crear tokens falsos que contendrían los valores correctos. Luego, se configura una rotación que crea solicitudes de 100 a 999 en orden secuencial. El script de tokenización funciona a la perfección.
De ser malicioso, el último paso sería introducir estos tokens generados en el proceso de pago uno por uno hasta que haya una coincidencia exitosa.
De utilizar las API de un minorista y las API de terceros, los actores malintencionados pueden cometer este tipo de fraude con relativa facilidad y hacerlo víctima de ataques de enumeración. Si estas acciones se distribuyen mediante varias direcciones IP utilizando proxies, sería muy complicado para el minorista identificar la situación por la que está pasando. Para llegar a una posible solución, el primer paso es probar la funcionalidad y el comportamiento de la API. Si es posible enviar varios tokens para encontrar los valores que faltan correctos, entonces debe haber un contador de transacciones en su lugar que permita errores de usuario y fuerce una nueva autenticación como parte del flujo de trabajo de pago después de un número determinado de intentos. También se recomienda trabajar con un proveedor para requerir que los flujos de pago provengan solo de pedidos válidos.
Es importante monitorear continuamente este comportamiento malicioso, bloquear automáticamente múltiples envíos sospechosos y crear un entorno engañoso para confundir a un atacante potencial. Estos tipos de ataques ocurren durante un período prolongado y pueden involucrar miles de solicitudes incorrectas. Para proteger a las empresas, es fundamental que los equipos de seguridad identifiquen áreas potenciales de riesgo, aprendan a detectar los patrones de este tipo de actividad y busquen ayuda de fuentes externas con experiencia en estas áreas. Solo entonces las organizaciones tendrán una postura de seguridad sólida que ayude a mitigar estos riesgos.
Fuente: Threat Post
Para más información ingresar aquí.
Comentarios