Animal Político sufre su quinto ataque informático durante el mes de mayo y el décimo en menos de un año. ¿Es realmente un ataque dirigido o solo un ataque de Carding por su falta de seguridad?
Según la nota de ARTICULO19.org, el ataque tiene las siguientes características:
Fue al sistema de suscripciones donde se procesan pagos con tarjetas.
Fueron 2,000 peticiones por minuto
intentaron pasar TDD pérdidas o robadas.
Textualmente: “Lo anterior sugiere que el objetivo del ataque era vulnerar los motores de suscripciones para consolidar un fraude, y señalar a Animal Político de cometerlo; lo que podría derivar en la suspensión y hasta cancelación de la campaña que implica una fuente de ingresos para el medio y, por tanto, para sus operaciones periodísticas.
Estos hechos se suman a la serie de ataques similares recibidos el 6, 8 y 16 de mayo, y uno más del 29 de marzo de este año; así como los recibidos en 2019, el 12 de octubre, el 12 y 21 de julio de 2019 y el 30 de junio. Es importante mencionar que la campaña de suscripciones inició el 29 de junio de 2019, un día antes del primer ataque.”
?¿Qué es un ataque de carding? También conocido como Relleno de tarjetas y verificación de tarjetas, en el que los atacantes utilizan múltiples intentos en paralelo para autorizar credenciales de tarjetas de crédito robadas. El carding se realiza mediante bots, software utilizado para realizar operaciones automatizadas a través de Internet. El objetivo del carding es identificar qué números de tarjeta o detalles de las mismas se pueden usar para realizar compras. Además del daño causado a los propietarios de tarjetas, un ataque de tarjetas puede afectar negativamente a las empresas cuyos sitios web se utilizan para autorizar tarjetas de crédito robadas. Por lo general, las tarjetas generan devoluciones de cargo: estas son transacciones en disputa que dan como resultado que un comerciante revierta la transacción y reembolse el dinero del comprador. El carding contra un sitio web pueden conducir a un mal historial del comerciante y multas por contracargo.
Un ataque de carding generalmente sigue estos pasos:
Un atacante obtiene una lista de números de tarjeta de crédito robados, ya sea de un mercado criminal o comprometiendo un sitio web o un canal de pago. Su calidad es a menudo desconocida.
El atacante implementa un bot para realizar pequeñas compras en múltiples sitios de pago. Cada intento prueba un número de tarjeta contra los procesos de pago de un comerciante para identificar detalles válidos de la tarjeta.
La validación de la tarjeta de crédito se intenta miles de veces hasta que arroja detalles validados de la tarjeta de crédito.
Los números de tarjeta exitosos se organizan en una lista separada y se usan para otras actividades criminales, o se venden a las redes de crimen organizado.
El titular de la tarjeta a menudo no detecta el fraude de tarjetas hasta que es demasiado tarde cuando sus fondos se gastan o transfieren sin su consentimiento.
Hay varios sitios web de pasarelas de pago que pueden detectar que los bots de tarjetas están accediendo a sus sitios o si utilizan otras técnicas de fraude.
¿Cómo funciona?
Altos montos anormales en el carrito de compras.
Tamaño promedio bajo de carrito de compras
Una proporción anormalmente alta de autorizaciones de pago fallidas
Uso desproporcionado uso de los pasos para realizar el pago en el carrito de compras
Aumento de las devoluciones de cargo
Múltiples autorizaciones de pago fallidas del mismo usuario, dirección IP, agente de usuario, sesión, ID de dispositivo o huella digital
Tal vez los atacantes saben que Pajaropolitico no tiene un sistema de detección de fraudes en tarjetas robadas/clonadas y por eso son un Target.? Eso si, su sitio web tiene un WAF (Firewall de aplicación web) de Cloudflare. Otra opción es que su WAF está mal configurado o sin configurar y los servidores que están detrás de él son accesibles públicamente.
Artículo 19 dice que la campaña de suscripciones inició el 29 de junio de 2019, un día antes del primer ataque. El historial de los DNS de PP dicen que 21 Agosto del 2017 sus servidores estaban detrás de cloudflare.
Al día de hoy, 27 de Mayo, la sección de suscripciones en su página web contiene un mensaje: ???? Volveremos pronto. Consulta https://twitter.com/pajaropolitico para más información.
Comentarios