Las efímeras páginas de phishing
1 de cada 3 webs de phishing desaparece en un día.
El análisis del ciclo de vida de las páginas de phishing llevado a cabo por los investigadores de Kaspersky revela que un tercio de ellas deja de existir en un solo día, por lo que las primeras horas de vida de la web son las más peligrosas para los usuarios, ya que se trata del momento en el que se difunden los enlaces maliciosos antes de que los motores antiphishing los puedan detectar y registrar en sus bases de datos.
Para este estudio, los investigadores han analizado un total de 5.307 ejemplos de páginas de phishing en el periodo comprendido entre el 19 de julio y el 2 de agosto de 2021. Así, una gran parte de los enlaces analizados (1.784) dejaron de estar activos tras el primer día de monitorización, e incluso numerosas páginas dejaron de existir en las primeras horas. Como resultado, a las 13 horas de haber iniciado el seguimiento, una cuarta parte de todas las páginas ya estaban inactivas, y la mitad de las webs no duraron más de 94 horas.
La vida útil de una página de phishing depende del momento en que se hace visible para los administradores del sitio y es eliminada por ellos. Incluso si los phishers han desplegado su propio servidor en el dominio comprado, y son sospechosos de actividad fraudulenta, los responsables del registro pueden impedir a los atacantes alojar datos en él.
Con cada hora de vida de una nueva página, esta va apareciendo en más bases de datos antiphishing, lo que implica que un menor número de posibles víctimas la visitarán. Ya que el ciclo de vida de este tipo de páginas es tan corto, los atacantes tienen interés en distribuir los enlaces a las páginas de phishing lo más rápido posible desde su creación, para asegurar el mayor alcance posible entre las víctimas durante las primeras horas, mientras sus páginas aún están activas.
Por lo general, los atacantes optan por crear una nueva página en lugar de modificar una ya existente. En este sentido, en muy pocas ocasiones los phishers pueden cambiar la página para evitar ser bloqueados. Por ejemplo, si los estafadores utilizan una marca como cebo, pueden cambiarla por otra. Sin embargo, la mayoría de las páginas simplemente se bloquean en el momento en que los ciberdelincuentes deciden cambiar la forma de actividad. No obstante, existe otro método, el de crear elementos de código generados aleatoriamente que no sean visibles para el usuario, pero que impidan que los motores antiphishing los bloqueen durante un tiempo indeterminado. A pesar de ello, existen motores antiphishing como el de Kaspersky que esquivan eficazmente estos trucos.
"Esta investigación no solamente es útil para actualizar nuestras bases de datos, sino también para mejorar la respuesta a los incidentes. Por ejemplo, si una empresa sufre un ataque de spam con enlaces falsos, conviene rechazarlo en las primeras horas, ya que es el momento en que la actividad de los phishers se ve más beneficiada. A su vez, es importante que los usuarios recuerden que cuando les llega un enlace y tienen dudas sobre la legitimidad del sitio, es aconsejable que esperen unas horas. Durante ese tiempo, no solo aumentará la probabilidad de que el enlace aparezca en las bases de datos antiphishing, sino que la propia página de phishing detenga su actividad. El usuario puede estar seguro de que está bien protegido, ya que además de detectar el ataque de phishing, también investigamos para mejorar la forma de repeler este tipo de ataques", señala Egor Bubnov, investigador de seguridad de Kaspersky.
