Yaakov's Group | Ciberseguridad

Canadá sufre un ciberataque utilizado para robar los pagos de ayuda COVID-19

Comparte este post en tus redes sociales

Segun el sitio BleepingComputer  los sitios del gobierno canadiense utilizados para brindar acceso a servicios cruciales de inmigración, impuestos, pensiones y beneficios han sido violados en un ataque coordinado para robar pagos de ayuda COVID-19.

El portal en línea denominado GCKey es un sistema crítico de inicio de sesión único (SSO) utilizado por el público para acceder a múltiples servicios del gobierno canadiense.

Durante el fin de semana, la Oficina de la Oficina Principal de Información del Gobierno de Canadá emitió un comunicado en el que advertía al público del ciberataque que había sufrido el sistema GCKey.

Usando la técnica de «relleno de credenciales», los atacantes lograron ingresar a unas 9.041 cuentas de GCKey de un total de 12 millones.

Los ataques de relleno de credenciales involucran a los atacantes que intentan combinaciones de nombre de usuario y contraseña previamente filtradas contra otro sitio web de forma automatizada, en un intento de encontrar cuentas que compartan las mismas credenciales.

Esa es una de las razones por las que los profesionales de la seguridad desaconsejan encarecidamente el uso de la misma combinación de nombre de usuario y contraseña en diferentes sitios web. Si uno de esos sitios web se ve comprometido, los atacantes ahora podrían reutilizar las credenciales filtradas en otros también.

«Las cuentas de GC Key afectadas se cancelaron tan pronto como se descubrió la amenaza y los departamentos se están comunicando con los usuarios cuyas credenciales fueron revocadas para proporcionar instrucciones sobre cómo recibir una nueva GCKey», se lee en el comunicado del gobierno.

Utilizado por más de 30 departamentos federales, GCKey también actúa como una ruta de acceso alternativa para los usuarios que inician sesión en los sistemas de la Agencia Canadiense de Ingresos (CRA).

La declaración también reconoció que aproximadamente 5.500 cuentas de CRA han sido atacadas en el ataque GCKey y en otro reciente ataque de «relleno de credenciales» dirigido a la CRA.

 

Sin autenticación multifactor (MFA)

Aquellos que frecuentan los sitios web del gobierno canadiense estarían familiarizados con muchos de ellos que ofrecen múltiples posibilidades de inicio de sesión. Por ejemplo, My Service Canada permite el acceso a la cuenta a través de GCKey, su banco o cuentas provinciales.

BleepingComputer puede verificar al acceder a algunos departamentos, como CRA o IRCC, GCKey no tiene habilitada la autenticación multifactor en el flujo de trabajo.

Al iniciar sesión desde una computadora nueva, al usuario se le haría una pregunta de seguridad (por ejemplo, el nombre de la mascota), sin embargo, no hay ningún mecanismo que solicite al usuario un código 2FA, por ejemplo, para enviarlo a través de un mensaje de texto (SMS). .

El nombre de usuario, la contraseña y las preguntas de seguridad constituyen un solo factor, «algo que usted sabe».

En nuestras pruebas, BleepingComputer tampoco encontró captchas de seguridad en uso. Esto podría haber hecho posible que los bots llevasen a cabo un relleno de credenciales automatizado.

Fondos de ayuda COVID-19 secuestrados
La falta de medios de autenticación de múltiples factores, un atacante que pone sus manos en la cuenta GCKey o CRA de una víctima, a través del relleno de credenciales o el robo de identidad, puede realizar transacciones gubernamentales sensibles.

Recientemente, como parte de un esfuerzo de alivio del coronavirus a nivel nacional, el gobierno instaló el Beneficio de Respuesta de Emergencia de Canadá (CERB).

El beneficio proporcionó fondos de hasta CA $ 2,000 a los residentes elegibles.

Como se puede observar en el sitio web del CERB, las preguntas de selección se pueden responder de cierta manera para acceder al sistema a través de la cuenta «My Service Canada» que utiliza GCKey.

Otro residente afectado, Farivar Ahmadzadeh de Toronto, dijo a CTVNews cómo los estafadores lograron retirar CA $ 10,000 en su nombre y redirigieron los fondos a cuentas ilegales.

Ya sea que se trate de un caso no relacionado de robo de identidad o facilitado a través del relleno de credenciales, los hallazgos recientes han expuesto vulnerabilidades en el sistema GCKey confiado por los organismos federales canadienses.

Si bien las múltiples rutas de acceso crean comodidad para los ciudadanos, también amplían la superficie de ataque de la que los atacantes pueden aprovechar. Todo lo que se necesita es que se explote el eslabón más débil de la cadena, lo que puede tener consecuencias devastadoras para todos.

Mientras tanto, los usuarios deben asegurarse de que sus cuentas GCKey y CRA no se hayan visto afectadas y considerar cambiar sus contraseñas como medida de seguridad. Como se indica en la declaración del gobierno, «Si tiene inquietudes inmediatas, llame al 1-800-O-Canada».

Fuente: BleepingComputer

Deja un comentario