Sergio Agudo
El _phishing_ es una de las técnicas más rentables para los cibercriminales. Un nuevo informe publicado por Imperva revela que los llamados servicios llavero hacen que se trate de una práctica todavía más efectiva.
Los investigadores de la firma exploraron los mercados de la _darknet_ para obtener una idea aproximada del coste de una campaña de _phshing_, así como para conseguir una visión realista del modelo de negocio de estos _hackers_. Lo que descubrieron en un mercado ruso es que una red intenta potenciar el PhaaS o _Phishing as a Service_ por toda la _darknet_ a través de facilidades en la compra y precios muy reducidos.
No sólo eso, sino que ofrecen "una solución completa para el timador novato". Esta solución incluye bases de datos de correo electrónico, plantillas de estafas de _phishing_ y una base de datos especial para almacenar credenciales de acceso robadas.
Dicho de otra manera: la red que intenta potenciar este tipo de campañas vende a los novatos un servicio automático. Usando sus credenciales de acceso pueden elegir una gran variedad de páginas con estafas predefinidas. Entre ellas se incluyen redes sociales, timos bancarios, de compraventa, en telecomunicaciones, _gaming_ y páginas de citas. Una vez se consigan las credenciales de las víctimas se guardarán en la base de datos antes mencionada.
Además de esto vieron que era fácil secuestrar servidores comprometidos para usarlos en sus campañas, lo que todavía reduce más los costes de la inversión inicial.
El PhaaS es muy barato y dobla los beneficios
Los investigadores realizaron un análisis de costes, determinando que el Phaas cuesta una cuarta parte que una campaña de _phishing_ convencional y puede doblar los beneficios que da una de estas, además de que requieren una gran cantidad de trabajo y mucha habilidad.
Lo que determinaron es que al bajar los costes y reducir las barreras tecnológicas asociadas con el _phishing_, junto con este plan de potenciación, puede llevar a un aumento de las campañas de este tipo y obtener un mayor número de víctimas gracias al PhaaS.
Según Amichai Shulman, cofundador y CTO de Imperva, la combinación del PhaaS con los servidores web comprometidos "ha bajado de forma significativa" el coste monetario y técnológico para llevar una campaña a cabo con éxito:
Ya no es factible para las empresas usar los clientes y el software basado en endpoints para luchar contra los intentos de phishing debido a que el público continúa clicando en enlaces maliciosos en correos electrónicos.
Una forma de decelerar los ataques sería cortar el acceso fácil a servidores comprometidos, lo que aumentaría la inversión en una campaña de _phishing_ y descendería la rentabilidad.
Gracias a sus investigaciones también consiguieron descubrir muchos datos de ingeniería social usados por los _hackers_ contra sus víctimas. Al parecer las mañanas son las horas del día más proclives a que una víctima caiga en la trampa.
Además, las víctimas tienen más probabilidades de introducir su nombre de usuario y una contraseña para abrir un archivo adjunto que de clicar una URL en un correo electrónico para entrar en un servicio con sus credenciales de forma ciega.
Vía | Imperva, ZDnet
Imagen | Christiaan Colen
En Genbeta | El phishing como un servicio: esta web permite hacerlo a cualquiera sin conocimientos técnicos
Ver 2 comentarios
2 comentarios
atoi
En la primera mitad de la década pasada Internet estaba llena de webs destinadas a lanzar ataques phishing, principalmente contra usuarios de servicios de correo (Hotmail, Yahoo y más tarde Gmail), sin necesidad de registro y de forma gratuita. La respuesta del incauto llegaba directamente al servidor de la web en cuestión, por lo que el negocio estaba en que el admin se hacía de una buena base de datos de contraseñas.
Koldo
Cuando las empresas dejen de enviar con correos con enlaces, se acabará el phising. Los propios bancos, redes sociales, tiendas on-line, etc. envían correos con enlaces legales a sus webs, lo que hace que nos creamos también los ilegales.
Es grave que un banco haga eso para venderte un crédito que no necesitas. Tendrían que acostumbrar a sus clientes a entrar con el enlace guardado en sus marcadores, nunca pinchando en el enlace de un correo.