El análisis del ciclo de vida de las páginas de phishing llevado a cabo por los investigadores de Kaspersky revela que un tercio de ellas deja de existir en un solo día, por lo que las primeras horas de vida de la web son las más peligrosas para los usuarios, ya que se trata del momento en el que se difunden los enlaces maliciosos antes de que los motores antiphishing los puedan detectar y registrar en sus bases de datos
Para este estudio, los investigadores han analizado un total de 5,307 ejemplos de páginas de phishing en el periodo comprendido entre el 19 de julio y el 2 de agosto de 2021. Así, una gran parte de los enlaces analizados (1,784) dejaron de estar activos tras el primer día de monitorización, e incluso numerosas páginas dejaron de existir en las primeras horas. Como resultado, a las 13 horas de haber iniciado el seguimiento, una cuarta parte de todas las páginas ya estaban inactivas, y la mitad de las webs no duraron más de 94 horas.
La vida útil de una página de phishing depende del momento en que se hace visible para los administradores del sitio y es eliminada por ellos. Incluso si los phishers han desplegado su propio servidor en el dominio comprado, y son sospechosos de actividad fraudulenta, los responsables del registro pueden impedir a los atacantes alojar datos en él.
Con cada hora de vida de una nueva página, esta va apareciendo en más bases de datos antiphishing, lo que implica que un menor número de posibles víctimas la visitarán. Ya que el ciclo de vida de este tipo de páginas es tan corto, los atacantes tienen interés en distribuir los enlaces a las páginas de phishing lo más rápido posible desde su creación, para asegurar el mayor alcance posible entre las víctimas durante las primeras horas, mientras sus páginas aún están activas.
Por lo general, los atacantes optan por crear una nueva página en lugar de modificar una ya existente. En este sentido, en muy pocas ocasiones los phishers pueden cambiar la página para evitar ser bloqueados. Por ejemplo, si los estafadores utilizan una marca como cebo, pueden cambiarla por otra. Sin embargo, la mayoría de las páginas simplemente se bloquean en el momento en que los ciberdelincuentes deciden cambiar la forma de actividad. No obstante, existe otro método, el de crear elementos de código generados aleatoriamente que no sean visibles para el usuario, pero que impidan que los motores antiphishing los bloqueen durante un tiempo indeterminado. A pesar de ello, existen motores antiphishing como el de Kaspersky que esquivan eficazmente estos trucos.
«Esta investigación no solamente es útil para actualizar nuestras bases de datos, sino también para mejorar la respuesta a los incidentes. Por ejemplo, si una empresa sufre un ataque de spam con enlaces falsos, conviene rechazarlo en las primeras horas, ya que es el momento en que la actividad de los phishers se ve más beneficiada. A su vez, es importante que los usuarios recuerden que cuando les llega un enlace y tienen dudas sobre la legitimidad del sitio, es aconsejable que esperen unas horas. Durante ese tiempo, no solo aumentará la probabilidad de que el enlace aparezca en las bases de datos antiphishing, sino que la propia página de phishing detenga su actividad. El usuario puede estar seguro de que está bien protegido, ya que además de detectar el ataque de phishing, también investigamos para mejorar la forma de repeler este tipo de ataques», señala Egor Bubnov, investigador de seguridad en Kaspersky.
Con el objetivo de que los usuarios no se conviertan en víctimas de este tipo de estafas, Kaspersky recomienda lo siguiente:
● No conectarse a banca online y servicios de este tipo a través de redes Wi-Fi públicas. Las redes públicas pueden ser creadas por delincuentes que, en ocasiones, falsifican las direcciones de las páginas web y las redirigen a una falsa.
● Algunas veces los correos electrónicos y las páginas web se parecen mucho a las reales. Sin embargo, los enlaces serán casi con toda seguridad incorrectos, incluirán faltas de ortografía, o redirigirán a un sitio diferente.
● La práctica más segura es introducir el nombre de usuario y la contraseña únicamente a través de una conexión protegida. Incluso el prefijo HTTPS no siempre es un indicador de que la conexión a la web es segura, ya que los estafadores pueden emitir un certificado SSL.
● Instalar una solución de seguridad de confianza como Kaspersky Internet Security y seguir todas sus recomendaciones. Este tipo de soluciones de seguridad resuelven la mayoría de problemas de forma automática y alertan al usuario si es necesario.
A las empresas, Kaspersky recomienda los siguientes consejos:
● Ofrecer a sus empleados una formación básica sobre ciberseguridad. Se puede simular un ataque de phishing para asegurarse de que saben distinguir los correos electrónicos de phishing.
● Utilizar una solución para endpoints y servidores de email con funciones contra el phishing como Kaspersky Endpoint Security for Business, y así reducir la posibilidad de infección a través de un correo electrónico de phishing.
● Proteger el servicio en la nube de Microsoft 365 en caso de que se utilice. Kaspersky Security para Microsoft Office 365 cuenta con un sistema dedicado a la lucha contra el spam y el phishing, así como para la protección de SharePoint, Teams y OneDrive para garantizar la seguridad de las comunicaciones empresariales.
Puedes consultar el informe completo sobre el ciclo de vida de las páginas web de phishing en Securelist.