Patrones de phishing en EMEA: Perspectivas del F5 SOC

No es ningún secreto para quienes practican la pesca real (de peces vivos de verdad) que el momento oportuno es importante. Ciertos tipos de peces son más activos y, por lo tanto, es más probable capturarlos por la mañana, otros por la tarde y otros a primera hora de la tarde.

Resulta que el phishing digital no es diferente, si interpretamos los patrones exhibidos por quienes llevan a cabo tales actividades con base en las estadísticas recopiladas por nuestro SOC F5 en 2015 a partir de intentos de phishing realizados contra instituciones financieras en Europa, Medio Oriente y África (EMEA). 

EL TIEMPO IMPORTA

Si desea evitar ser víctima de un ataque de phishing en EMEA, resulta que el mejor día de la semana para realizar operaciones financieras sería el sábado. En 2015, solo se produjo el 5% de los ataques, siendo los viernes y domingos los siguientes días más probables, ya que solo el 12% ocurrió en cualquiera de esos dos días.

La mala reputación del lunes se mantiene, ya que se registraron más ataques ese día (20%) que cualquier otro, aunque el resto de la semana laboral no sale mucho mejor parado. No sorprende que las instituciones financieras sufran más ataques en promedio durante la semana laboral que los fines de semana, considerando que una investigación de IDC indica que entre el 30 y el 40 % del tiempo de acceso a Internet en el lugar de trabajo se dedica a actividades no relacionadas con el trabajo[1].

Esto se ve reforzado por los datos que muestran que la mayoría de los ataques de phishing ocurren durante el horario comercial.

Durante 2015, también era 200% más probable ver un ataque de phishing a principios de mes que a finales. Los ataques de phishing alcanzaron su punto máximo durante la primera semana del mes y luego disminuyeron, con una actividad previsiblemente mayor durante los días de semana y una actividad menor los fines de semana.

No es sorprendente que en la región EMEA la mayoría de los empleadores extraigan los salarios de sus empleados a principios o finales de mes. Los expertos de F5 SOC señalan que esto, combinado con el uso promedio del 46 % de la banca en línea en la UE[2], es probablemente la razón por la que vemos un aumento pronunciado en los ataques a principios de mes, cuando los empleados inician sesión en sus sistemas bancarios en línea para pagar facturas o verificar si sus salarios ya se han depositado.

ELEGIR EL SEÑUELO ADECUADO

Al pescar en el mundo físico, ningún tema es tan polémico como cuál señuelo es el mejor. Los colores, el tamaño, el movimiento y la similitud del señuelo con el mundo “real” son factores importantes. Después de todo, estamos tratando de convencer a los peces de que el señuelo que estamos usando es real, con la esperanza de que muerdan. Lo mismo ocurre con los engaños y sitios que utilizan los estafadores que roban datos financieros en el mundo digital.

Resulta que, así como es difícil convencer a los peces, también lo es mucho para las potenciales víctimas de phishing. El SOC de F5 descubrió que, en promedio, se necesitaron 9,14 visitas a una página fraudulenta antes de que alguien cayera en la trampa.

Los expertos dedican mucho tiempo a evaluar los sitios fraudulentos descubiertos para obtener la mayor información posible sobre los estafadores y sus técnicas. Resulta que pueden decir mucho sobre los atacantes a partir de las URL utilizadas en los ataques de phishing. Durante 2015 se observó que 1 de cada 10 sitios fraudulentos estaban alojados en la dirección raíz sin ninguna ruta adicional, por ejemplo www.phishingsite.com o www.phishingsite.com/index.html, lo que indica que los servidores estaban preparados específicamente para alojar sitios fraudulentos. Eso significa que probablemente fueron comprados específicamente para ataques de phishing. Normalmente, los atacantes piratean e inyectan contenido malicioso en un sitio existente, por lo que esta acción es desconcertante ya que la configuración del sitio no es propensa a ser detectada por otros medios preventivos, como los firewalls de aplicação web.

No es sorprendente descubrir que el 15% de los sitios fraudulentos estaban alojados en carpetas de Word Press dada la cantidad de vulnerabilidades graves que, según se informó, afectaban al popular sistema en 2015. Las vulnerabilidades sin parches y/o sin abordar son fácilmente explotadas por aquellos que buscan un lugar para alojar su código malicioso y sitios fraudulentos.

Además, los expertos de F5 SOC señalan que el 20% de las rutas URL se generaron dinámicamente por cada víctima, lo que dificulta su bloqueo con medidas de seguridad tradicionales. Esto también contribuye al tiempo promedio que tomó en 2015 eliminar o cerrar sitios fraudulentos.

La buena noticia es que lleva menos tiempo desmantelar un sitio fraudulento cuando se han robado las credenciales del usuario final. La mala noticia es que durante las horas intermedias muchos usuarios permanecen desprotegidos y, por tanto, inconscientes del peligro potencial.

El SOC F5 recomienda monitorear dominios con nombres similares a los oficiales para disminuir el tiempo entre el establecimiento y la detección. Muchas páginas falsas, aunque no necesariamente estén alojadas en dominios con nombres similares, contienen cadenas oficiales en la URL atacante. En general, F5 SOC recomienda buscar estas palabras específicas en Internet. Los ataques de phishing dirigidos a instituciones financieras ubicadas en EMEA tienden a ser más activos durante el horario comercial, de lunes a jueves. El tiempo es clave para evitar que los consumidores sean víctimas de robo de credenciales, por lo que es importante analizar todas las páginas falsas y cerrarlas lo antes posible.

[1] http://www.staffmonitoring.com/P32/stats.htm

[2] http://www.statista.com/statistics/222286/online-banking-penetration-in-leading-european-countries/

Puede obtener más información sobre la protección contra el fraude de F5 en la hoja de datos de WebSafe y en la hoja de datos de MobileSafe . Para obtener más información sobre los Centros de Operaciones de Seguridad de F5, puede consultar la hoja de datos de F5 SOC