2020 terminará con un incremento de incidentes de phishing de al menos el 15%

  • Endpoint

La mayoría de los sitios de phishing utilizan tecnologías de cifrado para engañar a sus víctimas, y un 52% utiliza el nombre de marcas populares. Los ciberdelincuentes están comenzando a utilizar granjas de clics. También aumenta el volumen de proxies de phishing en tiempo real (RTPP).

Recomendados: 

2021, ¿el año de la ciberdefensa? Webinar

Trabajo seguro desde cualquier lugar: adaptándonos a la "nueva normalidad" Leer

Threat Hunting Report 2020: así son las campañas de intrusiones hoy en día Leer 

Los incidentes de phishing se incrementaron a nivel global un 220% con respecto al promedio anual durante los momentos más duros de la primera ola de la pandemia del COVID-19, que sigue siendo una fuente de inspiración para los ciberdelincuentes en sus actividades de fraude y phishing. Así lo indica la cuarta edición del informe Phishing and Fraud Report, elaborado por F5 Labs, que estima que 2020 terminará con un incremento de incidentes de phishing del 15% con respecto a las cifras de un año antes, aunque la actividad en los últimos días del año puede hacer que el porcentaje crezca aún más.

El estudio señala que el phishing relacionado con el COVID-19 busca hacerse con las credenciales de los usuarios, instalar malware en sus equipos y estafarlos a través de donaciones y organizaciones benéficas falsas. Al analizar los registros públicos de los certificados digitales de confianza, el número de certificados que utilizan los términos "covid" y "corona" ascendió a 14.940 en el mes de marzo, lo que supuso un aumento del 1.102% con respecto al mes anterior.

“El riesgo de ser víctima de phishing es ahora mayor que nunca. Los ciberdelincuentes utilizan cada vez más certificados digitales para intentar que sus sitios web parezcan legítimos de cara al usuario”, dice David Warburton, Senior Threat Evangelist en F5 Labs. “Los hackers son especialistas en aprovechar las tendencias emocionales, por lo que creemos que el COVID-19 va a seguir siendo por el momento una magnífica excusa para alimentar nuevas amenazas”.

Siguiendo la tendencia de años anteriores, un 52% de los sites de phishing utiliza sin reparo el nombre de marcas populares. Según el informe, las marcas suplantadas con mayor frecuencia han sido Amazon, Paypal, Apple, WhatsApp, Microsoft Office, Netflix e Instagram. Por otra parte, ha continuado la competencia entre los hackers para secuestrar URLs de buena reputación, pero vulnerables. Este año, el 20% de las URLs de phishing eran sitios diseñados con WordPress.

Además, los ciberdelincuentes están reduciendo costes usando cada vez más registradores de dominios gratuitos, como Freenom, para ciertos dominios de nivel superior de código de país (ccTLDs), incluyendo .tk, .ml, .ga, .cf, y .gq. Como ejemplo, .tk es ahora el quinto dominio registrado más popular del mundo.

F5 Labs ha observado también que los ciberdelincuentes tienden a utilizar las contraseñas robadas en las cuatro horas posteriores al incidente en el que una persona es víctima de phishing, aunque también se ha detectado que algunos ataques ocurren en tiempo real, lo que les permite capturar los códigos de seguridad de autenticación multifactor (MFA), cada vez más utilizados por entidades financieras o tiendas de comercio electrónico.

2020 también ha visto cómo los phishers han intensificado sus esfuerzos para lograr que sitios fraudulentos parezcan auténticos. La mayoría de los sitios de phishing utilizan tecnologías de cifrado para engañar a sus víctimas. En total, el 72% cuentan con certificados HTTPS válidos. Asimismo, el 100% de las zonas de drop –los destinos de datos robados por malware – usan cifrado TLS.

Por otro lado, el informe de F5 Labs revela dos grandes tendencias de phishing. La primera es el creciente uso de granjas de clics. De esta forma, decenas de "trabajadores" remotos intentan sistemáticamente iniciar sesión en el sitio web objetivo utilizando credenciales obtenidas recientemente. En este caso, la conexión proviene de un humano que usa un navegador web estándar, lo que dificulta la detección de actividades fraudulentas.

La segundo es el aumento en el volumen de proxies de phishing en tiempo real (RTPP), como Modlishka2 y Evilginx23, que pueden capturar y utilizar códigos MFA. Los RTPPs actúan como una person-in-the-middle e interceptan las transacciones de una víctima con un sitio web real. Dado que el ataque ocurre en tiempo real, el sitio web malicioso puede automatizar el proceso de captura y reproducción de las autenticaciones, como los códigos MFA. Incluso puede robar y reutilizar cookies de sesión.