Los ciberdelincuentes se vuelcan en la automatización para alcanzar un mayor impacto en sus acciones de phishing
El phishing ya se ha convertido en el método de ataque más utilizado en las actividades de violación de datos. Asimismo, las principales víctimas del phishing son compañías de los sectores Financiero, Salud, Educación, organizaciones sin ánimo de lucro, y de servicios de contabilidad.
Estas conclusiones se extraen de la tercera edición del informe anual Phishing and Fraud, presentado por ReportF5 Labs, área de ciberseguridad de F5 Networks, proveedor líder de servicios de aplicaciones de nube híbrida. El estudio proporciona información sobre la evolución de las tácticas de violación de datos más comunes. Esta investigación se basa en los datos de Webroot, compañía de inteligencia sobre ciberamenazas, así como en los datos recogidos por los SOCs (Security Operation Centers) de F5.
“El phishing crece porque es una técnica barata y que funciona”, afirma David Warburton, Principal Threat Evangelist en F5 Networks y uno de los autores de este informe. “Con el phishing, los ciberdelincuentes no tienen que preocuparse por hackear un firewall, encontrar un exploit de día cero, descifrar lo cifrado o descender por el foso de un ascensor con un juego de ganzúas entre sus dientes. La parte más complicada es crear un truco que consiga que las personas hagan clic en un link o se metan en un sitio web falso”.
El informe de F5 Labs señala también que el phishing ha dejado de ser una técnica que se intensificaba en determinadas fechas y temporadas del año, lo que la hacía algo más predecible. Así, el año pasado, el SOC de F5 reportó un aumento del 50% de los ataques de phishing durante el período de ventas más fuerte, entre octubre y enero. Sin embargo, "2019 no muestra el mismo patrón que los dos años anteriores", dice Warburton. “El auge de las redes sociales hace que los datos personales estén disponibles gratuitamente en cualquier momento. Una amplia gama de eventos, ya sea por fiestas públicas, campeonatos deportivos o situaciones políticas, proporciona a los hackers la oportunidad que necesitan para crear una historia en la que apoyar una convincente campaña de phishing”.
Según F5 Labs, las direcciones de correos electrónicos objetivo para una campaña de phishing provienen de una gran variedad de fuentes. Dependiendo del enfoque de cada campaña, puede haber mensajes que se envíen a miles de víctimas potenciales o que se dirijan solo a una.
Anatomía de un ataque de phishing en 2019
Combinando los datos de Webroot con los propios, F5 Labs ha descubierto que los correos electrónicos de phishing tienen tres veces más probabilidades de tener un enlace malicioso que un archivo adjunto. Además, Facebook, Microsoft Office Exchange y Apple son las marcas y servicios que se suplantan con mayor frecuencia.
Una de las principales tendencias de este año es que los phishers intentan a toda costa ganarse la credibilidad y confianza de sus víctimas, por lo que el 71% de sus sites ya utilizan el protocolo seguro HTTPS para parecer más legítimos. F5 Labs también encontró que el 85% de los sites de phishing que utilizan certificados digitales han sido firmados por una autoridad de certificación (CA) de confianza. Además, en el 20% de los casos son certificados de Validación de Organización y en un 1% son de Validación Extendida.
"El objetivo de los certificados validados es garantizar la propiedad del dominio de una organización", dice Warburton. “Parece que esto no está funcionando. De hecho, Chrome y Firefox han anunciado planes para eliminar la marca EV de sus navegadores, tal como ha hecho ya Safari de Apple".
Los sitios de phishing se ubican en una amplia gama de hosts, siendo los principales 4cn.org (2.7%), airproxyunblocked.org (2.4%), 16u0.com (1.0%) y awardforyouhere.com (1.0%).
Los principales dominios con sitios únicos de phishing incluyen a blogspot.com, que es responsable del 4% de todas las instancias analizadas de phishing y del 43% del malware. Esta popular plataforma de blogs permite a los usuarios alojar fácilmente contenido malicioso en un dominio reconocido que proporciona certificados TLS gratuitos y con certificación OV para todos sus sites.
Otros dominios frecuentemente comprometidos son 000webhostapp.com, ebaraersc.net e .info. Los patrones que aparecen con más frecuencia en las URL de phishing examinadas fueron .htm (19.4%), .php (7.4%), login (3.0%) y admin (1.2%).
F5 Labs también observó que más del 7% de los sitios de malware utilizan conexiones cifradas a través de puertos HTTPS no estándar (por ejemplo, 8443).
“Aprovechar el cifrado HTTPS para ocultar el malware de los sistemas tradicionales de detección de intrusos (IDS) es una táctica común para los hackers, y estamos viendo un aumento en línea con las tendencias generales de ataque observadas. La mayoría del malware no se puede detectar sin la inspección SSL/TLS”, agrega Warburton.
El auge de la automatización
Otra tendencia significativa que aparece en el Phishing and Fraud Report 2019 es el creciente número de phishers que adoptan la automatización para optimizar sus ataques.
Los datos muestran que muchos de los sites de phishing obtienen certificados a través de servicios como cPanel (integrado con Comodo CA) y LetsEncrypt. El 36% de los sitios de phishing tiene certificados que duran solo 90 días, lo que sugiere que los ciberdelincuentes están utilizando técnicas de automatización en sus certificados.
“Pudimos acceder menos de diez veces al 95% de los dominios que analizamos y tan solo una vez al 47% de los sites. Esto significa que los piratas están automatizando por completo los procesos para poner en marcha los sitios de phishing, con el fin de maximizar el retorno de la inversión. La automatización permite orquestar programáticamente el proceso de compra e implementación de certificados en todos sus dominios", comenta Warburton.
“Los certificados gratuitos hacen que sea mucho más fácil para los atacantes alojar sitios de phishing. Sin embargo, esto no se debe solo a servicios como LetsEncrypt. Hay muchas otras formas de crear fácilmente certificados TLS gratuitos. Los phishers están reutilizando certificados en sitios de phishing y malware. Muchos certificados que encontramos tenían nombres alternativos, lo que permite múltiples reutilizaciones de los mismos certificados a través de muchos dominios".
Mantenerse seguro
F5 Labs recomienda que cualquier estrategia de prevención de suplantación de identidad (phishing) incluya acciones de capacitación y concienciación, así como los siguientes controles técnicos de seguridad:
· Utilizar la autenticación multifactor (MFA). Es un sistema de seguridad a prueba de phishing, que evita que las credenciales robadas se usen desde una ubicación inesperada o dispositivo desconocido.
· Etiquetar claramente todo el correo electrónico de fuentes externas para evitar la suplantación de identidad.
· Convertir al antivirus (AV) en una herramienta crítica para todos los sistemas relevantes . En la mayoría de los casos, el software AV será capaz de detener los intentos de instalación de malware si el software está actualizado. Establecer políticas de AV que se actualicen con periodicidad diaria como mínimo.
· Implementar soluciones de filtrado web para evitar que los usuarios visiten inadvertidamente sitios de phishing. Cuando un usuario hace clic en un enlace, la solución puede bloquear el tráfico saliente.
· Inspeccionar el tráfico cifrado en busca de malware. El tráfico de malware que se comunica con servidores de comando y control (C&C) a través de túneles cifrados es indetectable en tránsito sin algún tipo de gateway de descifrado. Es vital descifrar el tráfico interno antes de enviarlo a las herramientas de detección de incidentes para la revisión de infecciones.
· Mejorar los mecanismos de reporte . La respuesta ante incidentes debería incluir un método simplificado y sin culpa para los usuarios para alertar de posibles phishings.
· Obtener una mejor visibilidad a través de la monitorización del endpoint, entender lo que el malware se está convirtiendo en activo en la red y determinar qué credenciales pueden estar comprometidas.
