Jason Kent, hacker residente en Cequence Security, habla de las tácticas furtivas de los bots de compras (por ejemplo, el aparcamiento de dominios) observadas en una campaña masiva, y de lo que los equipos de seguridad de los comercios pueden hacer al respecto.
Mientras investigábamos una reciente campaña de bots a gran escala con el jefe del equipo de investigación de amenazas de CQ Prime, Dean Lendrum, descubrimos que los atacantes utilizaban servicios de aparcamiento y monetización de dominios para registrar varios dominios, creando un gran número de cuentas de comercio electrónico falsas por dominio.
- El análisis de los datos de las campañas de los bots de compra descubrió más de 850.000 cuentas falsas asociadas a un número relativamente pequeño de dominios.
- Las agrupaciones y los patrones comunes apuntan al registro de nombres de dominio y a los servicios de alojamiento (como Namecheap); con el aparcamiento, la monetización y el reenvío de correo electrónico que se utilizan para ejecutar campañas de bots de compra a gran escala.
- Los minoristas deben analizar los datos históricos para descubrir los patrones que emanan de los dominios sospechosos que utilizan la misma infraestructura de alojamiento. Los patrones observados incluyen nombres de dominio irregulares, dominio que se resuelve a una aplicación web no fiable, SSL no habilitado.
- Enviar una verificación de creación de cuenta de correo electrónico o considerar el uso de autenticación multifactor (MFA) cuando sea posible.
Detalles
Nos guste o no, los gestores de bots maliciosos son gente de negocios y siempre están buscando formas de reducir el coste de sus campañas de bots de comercio electrónico. El uso de servicios de domain parking y monetización de dominios (por ejemplo, Namecheap, ParkingCrew, etc.) es una forma de crear de forma económica muchas cuentas falsas que luego pueden utilizar en sus campañas de bots a gran escala. Las cuentas falsas asociadas a los dominios registrados vienen con el reenvío de correo electrónico activado. Cuando se utilizan en la campaña de bots, los correos electrónicos parecerán válidos para el minorista, pero entre bastidores, el servicio de reenvío se limitará a descartar los correos.
Para demostrar lo fácil que es hacerlo, pudimos establecer una cuenta por 1,18 dólares en menos de cinco minutos - dijo Kent - utilizando Namecheap, una de las varias soluciones de aparcamiento de dominios disponibles. Empezar fue tan fácil como depositar fondos en una cuenta de Namecheap y utilizar su API para llamar a namecheap.domains.create. Ahora teníamos un dominio y una cuenta asociada con VPN y correo electrónico empresarial gratuitos durante dos meses; reenvío de correo electrónico gratuito para siempre; y SSL como opción a 10 dólares al año.
Poco después pudimos empezar a monetizar el nuevo dominio a través de la asociación Namecheap-ParkingCrew; una práctica común para los actores de amenazas, evidenciada por los foros de bots que se jactan del dinero que ganan a través del tráfico falso que llega a sus dominios aparcados.
Características de los ataques observados
Al investigar cualquiera de los dominios por separado, todo parece normal. Pero cuando se agrupan los dominios que actúan mal por sus registros A de los servidores web y los registros MX de los servidores de redirección de correo, se empiezan a formar grupos de comportamiento.
- 863.874 cuentas falsas fueron asignadas a 1.810 dominios, generando un fuerte tráfico de bots.
- De esos 1.810 dominios, 440 estaban asignados a Namecheap y ParkingCrew, y sólo 255 de ellos tenían SSL activado.
La falta de SSL es una clara señal de que el dominio es sospechoso, dado que casi todos los dominios legítimos lo tienen activado. La única razón que se nos ocurre para la falta de SSL es el coste: son 10 dólares más al año, volviendo a la posición de que los operadores de bots buscan reducir costes.
Cuando se analizan las cuentas de usuario sospechosas de ser fraudulentas y los pedidos asociados, los equipos de seguridad del comercio minorista deben investigar el dominio de correo electrónico que el tráfico web y de correo electrónico están resolviendo a dominios legítimos utilizando herramientas como mxlookup y dig.
Implicaciones de las campañas masivas de bots de compra
Al igual que los bots como servicio han puesto el botting al alcance de las masas, el uso de servicios de registro y monetización de dominios es otro ejemplo de la comercialización de la industria del botting. En este ejemplo, los actores de las amenazas son capaces de crear fácilmente a miles de cuentas falsas para utilizarlas en sus campañas de bots a gran escala, lo que a su vez repercute en todo el negocio. Los equipos de seguridad y fraude se ven desbordados al intentar separar lo legítimo de lo malicioso. En algunos casos, los costes de infraestructura se disparan debido al aumento del volumen, mientras que las métricas de ventas y marketing se ven desviadas por el tráfico ilegítimo.
Fuente: https://threatpost.com/ecommerce-bots-domain-registration-account-fraud/177305/