search

Credential Harvesting

La recolección de credenciales es una técnica de recopilan credenciales de usuario (como ID de usuario, direcciones de correo electrónico, contraseñas y otra información de inicio de sesión).

hashtag
¿Cómo funciona la recolección de credenciales?

Lo más habitual es que se instale un recolector de credenciales como una extensión maliciosa de un sitio web o una aplicación. Una vez instalado, el recolector registra cualquier información que los usuarios ingresen durante el proceso de inicio de sesión.

Debido a que los recolectores de credenciales registran todos los inicios de sesión de manera indiscriminada, los ciberdelincuentes pueden crear una reserva de nombres de usuario y contraseñas.

Si un ciberdelincuente tiene acceso a una o más contraseñas comprometidas que un individuo usó en el pasado, esa credencial le proporciona un excelente punto de partida para adivinar su información de inicio de sesión para otros sitios o sistemas.

hashtag
Técnicas comunes utilizadas en ataques de recolección de credenciales

La recolección de credenciales normalmente se lleva a cabo junto con otra técnica de ciberataque. Métodos de ataque más frecuentes incluyen los siguientes:

  • Malware

  • Phishing

  • Suplantación de dominio

  • Ataques Man-in-the-Middle (MitM)

Una de las formas más comunes en que los atacantes realizan la recolección de credenciales es mediante el uso de correos electrónicos de phishing y de phishing con enlaces que podrían redirigir a un usuario a un sitio falso. Este "sitio falso" podría simular un servicio en la nube legítimo, como Gmail, Office 365 o incluso un sitio de redes sociales como Twitter, LinkedIn, Instagram o Facebook. Por eso es tan importante utilizar la autenticación multifactor. Sin embargo, en algunos casos, los atacantes podrían eludir la autenticación multifactor redirigiendo al usuario a un sitio malicioso y robando una cookie de sesión del navegador del usuario.

Muchos servicios y aplicaciones alojadas en la nube utilizan el inicio de sesión único (SSO) y otros utilizan autenticación federada. A veces, las aplicaciones basadas en la nube le permiten iniciar sesión con sus credenciales de Google, Apple o Facebook. Los atacantes podrían redirigir a los usuarios a sitios web suplantados que pueden parecer páginas de inicio de sesión legítimas de Google, Apple, Facebook o Twitter. Desde allí, el atacante podría robar el nombre de usuario y la contraseña de la víctima.

hashtag
Ataque de recolección de credenciales mediante correos electrónicos de ingeniería social y phishing

Realizar un ataque de ingeniería social y crear una instancia de un sitio web falso para realizar un ataque de recolección de credenciales.

Paso 1 . Inicie SET ingresando el comando setoolkit.

Paso 2 . Seleccioneen el menú principal, como se muestra en el Ejemplo 7-1.

Inicio del ataque de ingeniería social

Paso 3 . Selección de vectores de ataque a sitios web

Etapa 4 . En el menú y la explicación que aparecen a continuación (consulte el Ejemplo 7-3), seleccione Método de ataque de recolección de credenciales .

Paso 5 . Seleccione Plantillas web para utilizar una plantilla web predefinida (Twitter).

Paso 6 . Ingrese la dirección IP del host que le gustaría usar para recopilar las credenciales del usuario.

Paso 7 . Seleccione Twitter o cualquier plantilla objetivo.

Luego, puede redirigir a los usuarios a este sitio falso de Twitter enviando un correo electrónico de phishing o aprovechando vulnerabilidades web como secuencias de comandos entre sitios (XSS) y falsificación de solicitudes entre sitios (CSRF).

Recopilación de credenciales de usuario.

Recursos

LogoWhat Is Credential Harvesting? | CrowdStrikeCrowdStrike.comchevron-right
AnteriorAdquisición de cuenta (Account Takeover)SiguientePrivilege Escalation

Última actualización