Los ataques de phishing se disparan un 220 % durante el pico de COVID-19, mientras se intensifica el oportunismo de los ciberdelincuentes

David Warburton, autor del Informe sobre phishing y fraude de F5 Labs 2020, describe cómo los estafadores se están adaptando a la pandemia y traza las tendencias futuras en este video, con comentarios resumidos a continuación.
 

La COVID-19 continúa envalentonando significativamente los esfuerzos de phishing y fraude de los ciberdelincuentes, según una nueva investigación de F5 Labs. 

En la cuarta edición del Informe sobre phishing y fraude , se descubrió que los incidentes de phishing aumentaron un 220% durante el pico de la pandemia mundial en comparación con el promedio anual.

Según datos del Centro de Operaciones de Seguridad (SOC) de F5, se prevé que el número de incidentes de phishing en 2020 aumente un 15 % interanual, aunque esto podría cambiar pronto a medida que se propaguen nuevas oleadas de la pandemia.

Los tres objetivos principales de los correos electrónicos de phishing relacionados con COVID se identificaron como donaciones fraudulentas a organizaciones benéficas falsas, recolección de credenciales y entrega de malware. 

El dominio de un estafador 

Según investigaciones de años anteriores , F5 Labs observó que los estafadores se están volviendo cada vez más creativos con los nombres y direcciones de sus sitios de phishing.  

Hasta la fecha, en 2020, el 52 % de los sitios de phishing han utilizado nombres e identidades de marcas objetivo en las direcciones de sus sitios web. Utilizando datos del sitio de phishing Webroot, F5 Labs descubrió que Amazon fue la marca más atacada en la segunda mitad de 2020. Paypal, Apple, WhatsApp, Microsoft Office, Netflix e Instagram también estuvieron entre las diez marcas más suplantadas. 

Al rastrear el robo de credenciales hasta su uso en ataques activos, F5 Labs observó que los delincuentes intentaban usar contraseñas robadas dentro de las cuatro horas posteriores al phishing de una víctima. Algunos ataques incluso ocurrieron en tiempo real para permitir la captura de códigos de seguridad de autenticación multifactor (MFA). 

Escondido a plena vista 

En 2020, los estafadores también intensificaron sus esfuerzos para hacer que los sitios fraudulentos parezcan lo más genuinos posible. Las estadísticas de F5 SOC descubrieron que la mayoría de los sitios de phishing aprovechaban el cifrado y que un 72 % utilizaba certificados HTTPS válidos para engañar a las víctimas. Este año, el 100% de las zonas de entrega (los destinos de los datos robados enviados por malware) utilizaron cifrado TLS (frente al 89% en 2019).

Al combinar incidentes de 2019 y 2020, F5 Labs informó además que el 55,3 % de las zonas de colocación utilizaban un puerto SSL/TLS no estándar. El puerto 446 se utilizó en todos los casos excepto en uno. Un análisis de sitios de phishing descubrió que el 98,2 % utilizaba puertos estándar: 80 para tráfico HTTP de texto claro y 443 para tráfico SSL/TLS cifrado.

Amenazas futuras 

Según una investigación reciente de Shape Security , que se integró por primera vez con el Informe de phishing y fraude, hay dos tendencias principales de phishing en el horizonte.

Como resultado de mejores soluciones y controles de seguridad contra el tráfico de bots (botnets), los atacantes están comenzando a adoptar las granjas de clics. Esto implica que docenas de “trabajadores” remotos intentan sistemáticamente iniciar sesión en un sitio web de destino utilizando credenciales obtenidas recientemente. La conexión proviene de un humano que utiliza un navegador web estándar, lo que hace que la actividad fraudulenta sea más difícil de detectar.

Incluso un volumen relativamente bajo de ataques tiene un impacto. A modo de ejemplo, Shape Security analizó 14 millones de inicios de sesión mensuales en una organización de servicios financieros y registró una tasa de fraude manual del 0,4%. Esto equivale a 56.000 intentos de inicio de sesión fraudulentos, y las cifras asociadas con este tipo de actividad sólo están destinadas a aumentar.

Los investigadores de Shape Security también registraron un aumento en el volumen de servidores proxy de phishing en tiempo real (RTPP) que pueden capturar y utilizar códigos de autenticación multifactor (MFA). El RTPP actúa como intermediario e intercepta las transacciones de una víctima con un sitio web real. Dado que el ataque ocurre en tiempo real, el sitio web malicioso puede automatizar el proceso de captura y reproducción de autenticación basada en el tiempo, como los códigos MFA. Incluso puede robar y reutilizar cookies de sesión.

Los últimos servidores proxy de phishing en tiempo real en uso activo incluyen Modlishka y Evilginx2 . F5 Labs y Shape Security se disponen a monitorear el creciente uso de RTPP en los próximos meses.

Descargue el Informe sobre phishing y fraude de F5 Labs 2020 para obtener más información . 

Acerca del informe

El Informe sobre phishing y fraude de F5 Labs de este año examina cinco años de incidentes de phishing del Centro de operaciones de seguridad (SOC) de F5 y analiza en profundidad los sitios de phishing activos y confirmados suministrados por los servicios de inteligencia Webroot® BrightCloud® de OpenText. También incluye análisis de datos del mercado de la dark web de Vigilante e investigación de Shape Security. En conjunto, estos elementos construyen una imagen completa y consistente del mundo del phishing.