Los ataques de phishing son, hoy en día, la técnica de robo de datos bancarios más usada por los ciberdelincuentes. Por eso, resulta fundamental conocer cómo funcionan las principales herramientas a la hora de realizar esta clase de ataques: las páginas web 'fake' usadas para simular sitios legítimos.
Para ello, los investigadores de la compañía de ciberseguridad Kaspersky han analizado el ciclo de vida de estas páginas, descubriendo que una de cada tres páginas de phishing desaparece al cabo de un día, antes de que los diversos motores antiphishing puedan detectar los enlaces maliciosos y registrarlos en sus bases de datos.
A lo largo de tan sólo tres semanas (entre el 19 de julio y el 2 de agosto de 2021), los autores del estudio pudieron recopilar un total de 5.307 ejemplos de páginas de phishing, descubriendo que una gran parte de los enlaces analizados (1.784) dejaron de estar activos tras el primer día —en incluso tras las primeras horas— de monitorización.
De hecho, una cuarta parte de los enlaces habían dejado de estar activos a las 13 horas de haberse iniciado el seguimiento, y la mitad de las webs no duraron más de 94 horas. Según Egor Bubnov, investigador de seguridad de Kaspersky,
"Es importante que los usuarios recuerden que cuando les llega un enlace y tienen dudas sobre la legitimidad del sitio, es aconsejable que esperen unas horas. Durante ese tiempo, no solo aumentará la probabilidad de que el enlace aparezca en las bases de datos antiphishing, sino que la propia página de phishing detenga su actividad".
Datos a tener en cuenta
Ya que el ciclo de vida de este tipo de páginas es necesariamente breve (por la presión de los citados motores antiphising), los atacantes buscan vías para difundir los enlaces maliciosos con la mayor rapidez posible, mientras las páginas aún están activas.
Por lo general, los atacantes optan por crear una nueva página en lugar de modificar una ya existente (aunque en ocasiones es posible que opten meramente por cambiar la marca usada como cebo).
Y como la motivación económica activa el ingenio, muchos atacantes han desarrollado métodos basados en ir alterando aleatoriamente elementos del código de las páginas, invisibles para el usuario, pero que impiden o retrasan su detección por parte de los motores antiphishing.
Kaspersky ofrece en el informe dos recordatorios que conviene tener en cuenta para evitar bajar la guardia en estos casos:
Los ciberdelincuentes pueden crear sus propias redes Wi-Fi públicas con el objetivo de falsificar las direcciones de las páginas web y/o redirigir desde una URL legítima a una web falsa.
Ni siquiera el prefijo HTTPS es siempre un indicador de que la conexión a la web es segura, ya que los estafadores pueden llegar a emitir su propio certificado SSL.
Particularidades sobre el alojamiento y los dominios de las webs de phishing
Las páginas de phishing suelen estar alojadas en dominios conocidos y antiguos, por ejemplo .org y .com… pero en los últimos tiempos, se ha hecho muy popular entre los ciberdelincuentes el uso de dominios .xyz, de muy bajo costo, lo que los convierte en una buena opción para crear estas 'webs efímeras'. Cuando el sitio ya no es necesario, el propietario sólo tiene que desentenderse y no renovar el registro del dominio.
También destaca en el estudio la presencia de los sitios 'alojados' en el dominio duckdns.org, un servicio de nombres de dominio dinámicos, que permite al propietario de cualquier servidor vincular gratis y rápidamente un nombre de dominio a la dirección IP de aquél.
Por último, no olvidemos que, en muchos casos, estas webs maliciosas se alojan en subdirectorios o subdominios de sitios web legítimos previamente atacados: así, muchas veces quedan offline antes incluso de lo previsto por los cibercriminales, cuando los administradores detectan la actividad irregular.
Ver 2 comentarios