Estudio: la mayoría de las páginas de phishing se abandonan o desaparecen en cuestión de días

La investigación de Kaspersky encuentra que una cuarta parte de todos los sitios de phishing desaparecen en 13 horas. ¿Cómo diablos podemos atrapar y detener a los ciberdelincuentes que se mueven tan rápido?

La investigación realizada por la firma de seguridad cibernética Kaspersky descubrió que la mayoría de los sitios de phishing desaparecen o se vuelven inactivos en unos pocos días, lo que nos da otra razón para temer el phishing: vuela de noche, es difícil de rastrear y ocurre en una fracción de segundo.

kaspersky Análisis en profundidad de los sitios de phishing Se descubrió que casi las tres cuartas partes de las páginas de phishing dejaron de mostrar signos de actividad dentro de los 30 días. Una cuarta parte de ellos murió dentro de las 13 horas, y la mitad duró no más de 94 horas, o menos de 4 días.

El miedo y la paranoia que puede provocar el phishing pueden empeorar con esta noticia, pero créanlo: Kaspersky dice que cree que sus datos «pueden usarse para mejorar los mecanismos para volver a escanear páginas que terminan en bases de datos anti-phishing, determinando los tiempos de respuesta». a nuevos casos de phishing y para otros fines”, todo lo cual puede facilitar la captura, el seguimiento y la eliminación de páginas de phishing y sus operadores.

Mirar: Google Chrome: Consejos de seguridad e interfaz de usuario que necesita saber (República Tecnológica Premium)

En total, Kaspersky extrajo 5310 enlaces identificados como malos por su motor anti-phishing y rastreó estas páginas durante 30 días. «Durante 30 días desde el momento en que se determina que una página es ‘phishing’, el analizador verifica cada enlace cada dos horas y guarda el código de respuesta del servidor y el texto de la página HTML recuperada», dijo Kabbah.

Basándose en la información que recopiló durante este período de 30 días, Kaspersky decidió centrarse en el título, el tamaño y el hash MD5 de la página (que cambia con cualquier edición en el sitio). Estos criterios permiten a Kaspersky crear un método de análisis que categoriza las páginas según tengan contenido diferente, cambien los objetivos de phishing o no cambien.

Lo que sabe Kaspersky sobre los sitios de phishing

Se puede obtener mucho de las pocas estadísticas disponibles públicamente sobre una página, y Kaspersky ha hecho precisamente eso con los datos de phishing que investiga.

Las estadísticas del ciclo de vida son probablemente las más sorprendentes; como se mencionó anteriormente, las páginas de phishing tienden a desaparecer rápidamente. «La categorización de los enlaces según la cantidad de horas que viven muestra que la mayoría de las páginas de phishing están activas durante menos de 24 horas. En la mayoría de los casos, la página ya está inactiva en las primeras horas de su vida», dijo Kaspersky en su informe. .

Además de aprender que las páginas de phishing son efímeras, el estudio encontró que las páginas de phishing casi siempre permanecen igual durante su período activo. Se producen algunos cambios, como la campaña para los jugadores del juego de PC PlayerUnknown’s BattleGrounds, que se edita regularmente para mantenerse al día con los eventos del juego.

Sin embargo, ni una sola vez durante la investigación de Kaspersky los sitios de phishing cambiaron sus objetivos, lo que se atribuye al hecho de que muchos sitios de phishing se basan en dominios engañosos que imitan sitios legítimos. «Este tipo de phishing es difícil de reorientar para replicar una organización diferente, y es más fácil para los ciberdelincuentes crear nuevas páginas de phishing que modificar las existentes», dijo Kaspersky.

Las páginas también cambian ocasionalmente algo en el backend, lo que hace que su hash MD5 cambie, y si la página usa el hash para identificar el contenido, los filtros de phishing no la reconocerán.

Kasperksy desglosa aún más sus datos, agrupando las páginas según cuatro criterios formales: la fecha en que se creó el dominio, el dominio de nivel superior (como .com o .org), la ubicación de la página de phishing en el directorio del sitio (raíz o de otro tipo). ), y la página de dominio el nivel en el que se encuentra.

Mirar: Violación de contraseña: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (República tecnológica)

Hay una gran cantidad de datos adicionales para desglosar, así que asegúrese de leer el informe completo de Kaspersky para conocer todos los detalles. Podría decirse que la información más relevante para los profesionales de la seguridad que buscan identificar y erradicar las páginas de phishing se puede encontrar en las estadísticas y se puede reescribir fácilmente como recomendaciones:

• El sitio de DNS dinámico DuckDNS es una forma común para que los ciberdelincuentes falsifiquen nombres de dominio: es un servicio de DNS gratuito que permite a cualquier persona crear un subdominio y registrar un sitio en él. Si su empresa no tiene vínculos con DuckDNS o sus servicios, puede ser una buena idea bloquearla internamente.

• Las páginas de phishing ubicadas en subdirectorios de un sitio web son más resistentes que las páginas de phishing ubicadas en dominios de nivel superior. Si le preocupa la integridad de su sitio, asegúrese de escanear todo en busca de códigos sospechosos ocultos en lo profundo, con poca frecuencia, de partes de su sitio.

• Las páginas de phishing rara vez cambian. Si sabe que su gente u organización ha sido atacada, asegúrese de identificar las páginas de phishing y bloquearlas lo antes posible.

Desafortunadamente, con la incapacidad de poner en práctica el método de identificación de sitios de phishing de Kaspersky a escala, solo sirve para recordarnos una vez más que el phishing es real, serio y difícil de precisar. Asegúrese de implementar las mejores prácticas contra el phishing y otras medidas de concientización sobre el phishing.