Beware of cyberattacks targeting online passwords
Cuidado con los ciberataques

  • English
  • Español

Beware of cyberattacks targeting online passwords

The scammers are hard at work.

Keep your peepers on the passwords.

New York Attorney General Letitia James has issued a consumer alert, warning New Yorkers of cyberattacks targeting consumers that use the same username and password on more than one website or app.

In these cyberattacks, known as “credential stuffing” attacks, criminals attempt to log in to online accounts using login credentials stolen from other online services. Specialized software enables attackers to generate and send tens of thousands of login attempts in quick succession.

Keep your personal information locked up.

Credential stuffing attacks are occurring in the U.S. with greater frequency, James said. On January 5, she announced that an investigation by her office had identified more than 1.1 million online accounts compromised in credential stuffing cyberattacks on just 17 well-known companies.

The Attorney General’s office made the following recommendations to consumers for safeguard online accounts:

  • Never reuse passwords: While reusing login information may be convenient, it also puts consumers at risk. Consumers are encouraged to always create a unique password for each of their online accounts.
  • Use a password manager: A password manager on a phone or computer can keep track of a consumer’s passwords, automatically filling them in when they log in to a website or an app. Many modern web browsers include this functionality. Browsers and other password managers can also check if a consumer’s passwords have been stolen in a data breach, and even generate new passwords when creating new online accounts.
  • Enable two-factor authentication (2FA): This can provide an extra layer of security by requiring anyone logging in to an account to provide another credential, such as a one-time code sent by SMS or email. Most attackers that have access to a stolen password will not have access to a secondary credential. Consumers should ensure that if a website or app offers 2FA, that it is enabled for their account.
  • Check regularly for unauthorized activity: Not all companies will notify their users when their online accounts have been compromised. Consumers are encouraged to regularly check their online accounts for unauthorized transactions and activity, and immediately contact their online service (and credit card company, if appropriate) if they see something suspicious.
  • Sign up for updates: Consumers should register with a breach notification service, like Have I Been Pwned, that will send them a notification if an account associated with their email or phone number has been compromised.
  • Take Suspicious Activity Seriously: If an online service notifies a consumer of suspicious activity on their account, they should immediately change their password. If consumers use the same password for other accounts, they should be sure to change the password for those accounts as well.

Don’t get caught.

“With billions of stolen credentials floating around on the internet, credential stuffing attacks have the ability to hurt both businesses and consumers,” James said. “Fortunately, consumers can help safeguard their online accounts against credential stuffing. As we work with businesses to better safeguard consumers’ private information, I encourage all New Yorkers to remain vigilant against these types of attacks and take the appropriate steps to protect their data and their wallets.”

For more information, visit ag.ny.gov.

Cuidado con los ciberataques

Los estafadores están trabajando duro.

Tenga cuidado con sus contraseñas.

La fiscal general de Nueva York, Letitia James, emitió una alerta para los consumidores, advirtiendo a los neoyorquinos sobre ataques cibernéticos dirigidos a los consumidores que usan el mismo nombre de usuario y contraseña en más de un sitio web o aplicación.

En estos ataques cibernéticos, conocidos como ataques de “relleno de credenciales”, los delincuentes intentan iniciar sesión en cuentas en línea utilizando credenciales de inicio de sesión robadas de otros servicios en línea. El software especializado permite a los atacantes generar y enviar decenas de miles de intentos de inicio de sesión en rápida sucesión.

Mantenga su información personal bajo llave.

Los ataques de relleno de credenciales están ocurriendo en los Estados Unidos con mayor frecuencia, dijo James. El 5 de enero, anunció que una investigación realizada por su oficina había identificado más de 1.1 millones de cuentas en línea comprometidas en ataques cibernéticos de relleno de credenciales en solo 17 empresas conocidas.

La oficina de la fiscal general hizo las siguientes recomendaciones a los consumidores para salvaguardar las cuentas en línea:

  • Nunca reutilices las contraseñas: Si bien reutilizar la información de inicio de sesión puede ser conveniente, también pone en riesgo a los consumidores. Se alienta a los consumidores a crear siempre una contraseña única para cada una de sus cuentas en línea.
  • Utilice un administrador de contraseñas:Un administrador de contraseñas en un teléfono o computadora puede realizar un seguimiento de las contraseñas de un consumidor, completándolas automáticamente cuando inicia sesión en un sitio web o una aplicación. Muchos navegadores web modernos incluyen esta funcionalidad. Los navegadores y otros administradores de contraseñas también pueden verificar si las contraseñas de un consumidor han sido robadas en una violación de datos e incluso generar nuevas contraseñas al crear nuevas cuentas en línea.
  • Habilite la autenticación de dos pasos (2FA, por sus siglas en inglés):Esto puede proporcionar una capa adicional de seguridad al requerir que cualquier persona que inicie sesión en una cuenta proporcione otra credencial, como un código único enviado por SMS o correo electrónico. La mayoría de los atacantes que tienen acceso a una contraseña robada no tendrán acceso a una credencial secundaria. Los consumidores deben asegurarse de que, si un sitio web o una aplicación ofrece 2FA, esté habilitado para su cuenta.
  • Verifique regularmente si hay actividad no autorizada:No todas las empresas notificarán a sus usuarios cuando sus cuentas en línea se hayan visto comprometidas. Se recomienda a los consumidores que verifiquen regularmente sus cuentas en línea en busca de transacciones y actividades no autorizadas, y que se comuniquen de inmediato con su servicio en línea (y la compañía de tarjeta de crédito, si corresponde) si ven algo sospechoso.
  • Regístrese para recibir actualizaciones:Los consumidores deben registrarse en un servicio de notificación de infracciones, como Have I Been Pwned, que les enviará una notificación si una cuenta asociada con su correo electrónico o número de teléfono se ha visto comprometida.
  • Tómese en serio las actividades sospechosas:Si un servicio en línea notifica a un consumidor sobre actividad sospechosa en su cuenta, debe cambiar su contraseña de inmediato. Si los consumidores usan la misma contraseña para otras cuentas, también deben asegurarse de cambiar la contraseña de esas cuentas.

    No te dejes atrapar.

“Con miles de millones de credenciales robadas flotando en Internet, los ataques de relleno de credenciales tienen la capacidad de dañar tanto a las empresas como a los consumidores”, dijo James. “Afortunadamente, los consumidores pueden ayudar a proteger sus cuentas en línea contra el relleno de credenciales. A medida que trabajamos con las empresas para proteger mejor la información privada de los consumidores, animo a todos los neoyorquinos a permanecer atentos a este tipo de ataques y a tomar las medidas adecuadas para proteger sus datos y sus billeteras”.

Para obtener más información, visite ag.ny.gov.