Un tercio de las páginas de phishing dejan de estar activas el primer día
- Endpoint
Debido a que el ciclo de vida es tan corto, los phishers están interesados en distribuir enlaces a páginas de phishing tan pronto como se crean, para garantizar el mayor alcance posible a las víctimas potenciales mientras sus sitios aún están activos. La mitad no sobreviven más de 94 horas.
|
Recomendados: Demostración de un ataque dirigido a entornos OT Webinar Ciberseguridad industrial, protegiendo las redes IT y OT Leer Ciberseguridad orientada al futuro Leer |
Los investigadores de Kaspersky han analizado el ciclo de vida de las páginas de phishing y han descubierto que muchas de ellas dejan de existir en un solo día, lo que hace que las primeras horas de vida de una página sean las más peligrosas para los usuarios. Este es el momento en que se propaga una amplia gama de enlaces de phishing antes de que el sitio sea detectado e ingresado en las bases de datos por los motores anti-phishing.
Los investigadores analizaron 5.307 ejemplos de páginas de phishing del 19 de julio al 2 de agosto de 2021, 1.784 de las cuales dejaron de estar activas después del primer día. 13 horas después del inicio de la monitorización, una cuarta parte de todas las páginas estaban inactivas, y la mitad no vivían más de 94 horas.
La vida útil de una página de phishing depende del momento en que se hace visible para los administradores del sitio y es eliminada por ellos. Incluso si los phishers han desplegado su propio servidor en el dominio comprado y son sospechosos de actividad fraudulenta, los registradores pueden privar a los phishers del derecho a alojar los datos en él.
Con cada hora de vida de un nuevo sitio, aparece en más bases de datos anti-phishing, lo que significa que menos víctimas potenciales lo visitarán. Debido a que el ciclo de vida de tales páginas es tan corto, los phishers están interesados en distribuir enlaces a páginas de phishing tan pronto como se crean, para garantizar el mayor alcance posible a las víctimas potenciales en las primeras horas. A menudo, los atacantes optan por crear una nueva página en lugar de modificar una existente.
Además, muy raramente, los phishers pueden cambiar la página para evitar ser bloqueados. Por ejemplo, si los phishers usan una marca como cebo, podrían cambiarla a otra. Sin embargo, la mayoría de las páginas simplemente se bloquean cuando los phishers deciden cambiar la forma de actividad. Hay otro método: crear elementos de código generados aleatoriamente que no son visibles para el usuario, pero que aun así evitan que los motores anti-phishing los bloqueen durante un período de tiempo incierto. Sin embargo, el motor anti-phishing de Kaspersky evita hábilmente estos trucos.
