Las estafas relacionadas con el COVID-19 y la creciente sofisticación de los atacantes aumentan los riesgos de ciberseguridad a nivel global
El COVID-19 continúa siendo una fuente de inspiración para los ciberdelincuentes en sus actividades de fraude y phishing, según la cuarta edición del informe Phishing and Fraud Report, elaborado por F5 Labs.
Según este informe, los incidentes de phishing se incrementaron a nivel global un 220% con respecto al promedio anual durante los momentos más duros de la primera ola de la pandemia. Basándose en los datos recogidos por el Centro de Operaciones de Seguridad (SOC) de F5, se estima que 2020 terminará con un incremento de incidentes de phishing del 15% con respecto a las cifras de un año antes, aunque la actividad en los últimos días del año puede hacer que el porcentaje crezca aún más.
El estudio de F5 señala que el phishing relacionado con el COVID-19 busca, principalmente, hacerse con las credenciales de los usuarios, instalar malware en sus equipos y estafarlos a través de donaciones y organizaciones benéficas falsas.
El oportunismo de los ciberdelincuentes este año ha quedado también en evidencia al analizar los registros públicos de los certificados digitales de confianza, ya que según señala F5, el número de certificados que utilizan los términos «covid» y «corona» ascendió a 14.940 en el mes de marzo, lo que supuso un aumento del 1.102% con respecto al mes anterior.
“El riesgo de ser víctima de phishing es ahora mayor que nunca. Los ciberdelincuentes utilizan cada vez más certificados digitales para intentar que sus sitios web parezcan legítimos de cara al usuario”, dice David Warburton, Senior Threat Evangelist en F5 Labs.
“Los hackers son especialistas en aprovechar las tendencias emocionales, por lo que creemos que el COVID-19 va a seguir siendo por el momento una magnífica excusa para alimentar nuevas amenazas. Desgraciadamente, nuestra investigación indica que los controles de seguridad y la capacitación y concienciación general de los usuarios de todo el mundo siguen siendo insuficientes.»
Los dominios que utilizan los phishers
Siguiendo la tendencia de años anteriores, los ciberdelincuentes mantienen una alta creatividad, que se refleja en los nombres y direcciones de sus sites. Asimismo, un 52% de los sites de phishing utiliza sin reparo le nombre de marcas populares. Según el informe de F5, las marcas suplantadas con mayor frecuencia han sido Amazon, Paypal, Apple, WhatsApp, Microsoft Office, Netflix e Instagram.
En su investigación, F5 Labs ha observado también que los ciberdelincuentes tienden a utilizar las contraseñas robadas en las cuatro horas posteriores al incidente en el que una persona es víctima de phishing, aunque también se ha detectado que algunos ataques ocurren en tiempo real, lo que les permite capturar los códigos de seguridad de autenticación multifactor (MFA), cada vez más utilizados por entidades financieras o tiendas de comercio electrónico.
Por otra parte, ha continuado la competencia entre los hackers para secuestrar URLs de buena reputación, pero vulnerables. Este año, el 20% de las URLs de phishing eran sitios diseñados con WordPress. Tres años antes, en 2017, ese porcentaje era solo del 4,7%
Además, los ciberdelincuentes están reduciendo costes usando cada vez más registradores de dominios gratuitos, como Freenom, para ciertos dominios de nivel superior de código de país (ccTLDs), incluyendo .tk, .ml, .ga, .cf, y .gq. Como ejemplo, .tk es ahora el quinto dominio registrado más popular del mundo.
El cifrado ya no es garantía
2020 también ha visto cómo los phishers han intensificado sus esfuerzos para lograr que sitios fraudulentos parezcan auténticos. Las estadísticas del SOC de F5 muestran que la mayoría de los sitios de phishing utilizan tecnologías de cifrado para engañar a sus víctimas. En total, el 72% cuentan con certificados HTTPS válidos. Asimismo, el 100% de las zonas de drop -los destinos de datos robados por malware- usan cifrado TLS (frente al 89% en 2019).
Combinando los incidentes de 2019 y 2020, F5 Labs dice que el 55,3% de zonas de drop utilizan un puerto SSL/TLS no estándar. Así, el puerto 446 se utilizó en todos los casos excepto uno. Por su parte, en un análisis de los sitios de phishing se encontró que el 98,2% utilizan puertos estándar: 80 para el tráfico HTTP con texto sin cifrar y 443 para tráfico SSL/TLS cifrado.
Amenazas futuras
De acuerdo con una reciente investigación de Shape Security, integrada en el informe de F5 Labs por primera vez, existen dos grandes tendencias de phishing. Por una parte, como consecuencia de los avances de seguridad con respecto al tráfico de bots, los ciberdelincuentes están comenzando a utilizar granjas de clics. De esta forma, decenas de «trabajadores» remotos intentan sistemáticamente iniciar sesión en el sitio web objetivo utilizando credenciales obtenidas recientemente. En este caso, la conexión proviene de un humano que usa un navegador web estándar, lo que dificulta la detección de actividades fraudulentas.
En una investigación real, Shape Security se encargó de analizar 14 millones de inicios de sesión en una organización de servicios financieros durante un mes, registrando una tasa de fraude del 0,4%. Ese porcentaje, que puede parecer pequeño, equivale a 56.000 intentos de inicio de sesión fraudulentos.
Por otra parte, los investigadores de Shape Security también notifican un aumento en el volumen de proxies de phishing en tiempo real (RTPP), como Modlishka2 y Evilginx23, que pueden capturar y utilizar códigos de autenticación multifactor (MFA). Los RTPPs actúan como una person-in-the-middle e interceptan las transacciones de una víctima con un sitio web real. Dado que el ataque ocurre en tiempo real, el sitio web malicioso puede automatizar el proceso de captura y reproducción de las autenticaciones, como los códigos MFA. Incluso puede robar y reutilizar cookies de sesión.
“Los ataques de phishing seguirán teniendo éxito mientras haya un humano que pueda ser manipulado psicológicamente de alguna manera. Tanto los controles de seguridad como los navegadores web deben incrementar sus competencias para descubrir los sitios fraudulentos para los usuarios. Las personas y las organizaciones también deben recibir capacitación continua sobre las últimas técnicas utilizadas por los estafadores, como las relacionadas con el COVID-19«, concluye Warburton.