Estudio: la mayoría de las páginas de phishing se abandonan o desaparecen en cuestión de días

La investigación de Kaspersky encuentra que una cuarta parte de los sitios de phishing desaparecen en 13 horas. ¿Cómo diablos podemos atrapar y detener a los ciberdelincuentes que se mueven tan rápido?

Imagen: Vladimir Obradovic, Getty Images / iStockphoto

Una investigación de la firma de ciberseguridad Kaspersky ha descubierto que la mayoría de los sitios web de phishing desaparecen o se vuelven inactivos en unos días, lo que nos da otra razón más para temer al phishing: es un vuelo nocturno, es difícil de rastrear y ocurre en un instante.

El análisis en profundidad de Kaspersky de los sitios web de phishing encontró que casi tres cuartas partes de todas las páginas de phishing dejan de mostrar signos de actividad en 30 días. Una cuarta parte de ellos mueren en 13 horas y la mitad no duran más de 94 horas, o poco menos de 4 días.

El miedo y la paranoia que puede evocar el phishing pueden empeorar con esta noticia, pero tenga fe: Kaspersky dijo que cree que sus datos «podrían usarse para mejorar los mecanismos para volver a escanear páginas que terminaron en bases de datos anti-phishing». para determinar el tiempo de respuesta a nuevos casos de phishing y para otros fines, «todo lo cual podría facilitar la captura, seguimiento y eliminación de páginas de phishing y sus operadores».

VER: Google Chrome: consejos de seguridad e interfaz de usuario que debe conocer (TechRepublic Premium)

Kaspersky extrajo un total de 5.310 enlaces identificados como defectuosos por su motor anti-phishing y rastreó esas páginas en el transcurso de 30 días. «Durante un período de treinta días desde el momento en que se asignó un veredicto de» phishing «a una página, el programa de análisis verificó cada vínculo cada dos horas y guardó el código de respuesta emitido por el servidor, así como el texto de la página HTML recuperada, «Dijo Kaspersky.

Basándose en la información que recopiló durante ese período de 30 días, Kaspersky decidió centrarse en el título de la página, su tamaño y su hash MD5 (que cambia cuando se realiza una edición en un sitio web). Esos criterios permitieron a Kaspersky crear un método de análisis que clasificaba las páginas como con contenido diferente, un cambio en el objetivo de phishing o ningún cambio.

Lo que Kaspersky aprendió sobre los sitios web de phishing

Se puede obtener mucha información de esas pocas estadísticas disponibles públicamente sobre una página, y Kaspersky ha hecho precisamente eso con los datos de phishing que investigó.

Las estadísticas del ciclo de vida pueden ser las más sorprendentes; como se mencionó anteriormente, las páginas de phishing tienden a desaparecer rápidamente. «La clasificación de los enlaces según la cantidad de horas que sobrevivieron muestra que la mayor parte de las páginas de phishing solo estuvieron activas durante menos de 24 horas. En la mayoría de los casos, la página ya estaba inactiva en las primeras horas de vida», dijo Kaspersky. dijo en su informe.

Además de saber que las páginas de phishing son de corta duración, el estudio también encontró que las páginas de phishing casi siempre permanecen sin cambios durante su período activo. Se producen algunos cambios, como con una campaña dirigida a los jugadores del juego de PC PlayerUnknown’s BattleGrounds que se editaba regularmente para mantenerse al día con los eventos del juego.

Sin embargo, ni una sola vez, un sitio web de phishing cambió su objetivo en el curso del estudio de Kaspersky, lo que atribuyó al hecho de que muchos sitios web de phishing se basan en nombres de dominio falsificados creados para imitar de cerca los sitios web legítimos. «Este tipo de phishing es difícil de reorientar para copiar una organización diferente, y es más fácil para los ciberdelincuentes crear una nueva página de phishing que modificar una existente», dijo Kaspersky.

Las páginas también cambian ocasionalmente algo en el back-end, lo que hace que sus hashes MD5 cambien y los filtros de phishing no reconozcan la página si usa hashes para identificar contenido.

Kasperksy desglosa sus datos aún más, agrupando las páginas según cuatro criterios formales: fecha de creación del dominio, dominio de nivel superior (como .com o .org), ubicación de la página de phishing en el directorio del sitio web (raíz o en otro lugar) y dominio. nivel donde se encuentra la página.

VER: Violación de contraseña: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (TechRepublic)

Hay muchos datos adicionales para desglosar y, para conocer todos los detalles, asegúrese de leer el informe completo de Kaspersky. Basta decir que la información más pertinente para los profesionales de la seguridad que buscan identificar páginas de phishing y erradicarlas se puede encontrar en las estadísticas y reformular fácilmente como recomendaciones:

El sitio web de DNS dinámico DuckDNS es una forma común en la que los ciberdelincuentes falsifican nombres de dominio: es un servicio de DNS gratuito en el que cualquiera puede crear un subdominio y registrar un sitio. Si su empresa no tiene conexión con DuckDNS o sus servicios, puede ser una buena idea bloquearlo internamente.

Las páginas de phishing ubicadas en subdirectorios de sitios web son mucho más resistentes que las del nivel superior de un dominio. Si le preocupa la integridad de su sitio web, asegúrese de escanear todo para comprobar si hay códigos sospechosos escondidos en una parte profunda y poco frecuentada de su sitio.

Las páginas de phishing rara vez cambian. Si sabe que su gente u organización se ha convertido en un objetivo, asegúrese de identificar las páginas de phishing y bloquearlas lo más rápido posible.

Desafortunadamente, sin poder poner en práctica la metodología de identificación de sitios de phishing de Kaspersky a gran escala, solo sirve para recordarnos una vez más que el phishing es real, es serio y es increíblemente complicado de precisar. Asegúrese de implementar las mejores prácticas anti-phishing y otras medidas de concientización sobre phishing.

Ver también