El informe de phishing y fraude de F5 Labs muestra: las estafas relacionadas con COVID-19 y los ataques cada vez más sofisticados están exacerbando las amenazas globales. Los ataques de phishing aumentan en un 19 por ciento debido a COVID-220.
La pandemia de COVID-19 continúa aumentando significativamente los intentos de phishing y fraude, según un análisis reciente de F5 Labs. Según la cuarta edición del Informe de phishing y fraude, publicado hoy, en el punto álgido de la pandemia mundial, los incidentes de phishing aumentaron un 220 % en comparación con el promedio anual. Según los datos del Centro de Operaciones de Seguridad (SOC) de F5, la cantidad de incidentes de phishing aumentará en un 2020 por ciento en 15 en comparación con el año anterior. Pero este número podría aumentar debido a la segunda ola de la pandemia.
Términos "covid" y "corona" en la parte superior
Los tres objetivos principales de los correos electrónicos de phishing relacionados con COVID-19 son solicitar donaciones de manera fraudulenta para supuestas organizaciones benéficas, recopilar credenciales y entregar malware. Además, la cantidad de certificados con los términos "covid" y "corona" alcanzó un máximo de 14.940 en marzo, un aumento del 1102 por ciento en comparación con el mes anterior.
"El riesgo de ser víctima de ataques de phishing es más alto que nunca, ya que los estafadores utilizan cada vez más certificados digitales para que sus sitios web parezcan legítimos", dijo Roman Borovits, ingeniero de sistemas sénior de F5. “Los atacantes también saltan rápidamente a las tendencias emocionales, lo que hace que el COVID-19 empeore una situación que ya es peligrosa. Desafortunadamente, nuestra investigación muestra que todavía faltan controles de seguridad, educación de los usuarios y conciencia general en todo el mundo”.
Nuevos métodos de phishing
Como en años anteriores, F5 Labs descubrió que los estafadores se están volviendo más creativos con los nombres y direcciones de sus sitios de phishing. En lo que va de 2020, el 52 % de los sitios de phishing han utilizado nombres e identidades de marcas conocidas en sus direcciones. En la segunda mitad de 2020, Amazon fue el más frecuentemente explotado por ataques. Paypal, Apple, WhatsApp, Microsoft Office, Netflix e Instagram también se encontraban entre las diez marcas más suplantadas. Al rastrear el robo de credenciales para usar en ataques activos, F5 Labs descubrió que los delincuentes intentaron usar contraseñas robadas dentro de las cuatro horas posteriores al phishing de una víctima. Algunos ataques incluso ocurrieron en tiempo real para permitir la captura del código de seguridad de autenticación multifactor (MFA).
Los ciberdelincuentes también se están volviendo más despiadados al secuestrar URL legítimas pero vulnerables. Solo WordPress representó el 20 por ciento de las URL genéricas de phishing en 2020, frente al 4,7 por ciento tres años antes. Además, los ciberdelincuentes ahorran cada vez más dinero mediante el uso de registros gratuitos como Freenom para ciertos dominios de nivel superior con código de país (ccTLD) como .tk, .ml, .ga, .cf y .gq. .tk es ahora el quinto dominio registrado con más frecuencia en el mundo.
Sitios de phishing engañosamente reales
En 2020, los phishers también intensificaron sus esfuerzos para hacer que los sitios fraudulentos parezcan lo más genuinos posible. Las estadísticas de F5 SOC revelaron que la mayoría de los sitios web de phishing utilizan cifrado. El 72 por ciento usa certificados HTTPS válidos para engañar a las víctimas. Incluso todas las zonas de entrega, los objetivos de los datos robados enviados por el malware, utilizan el cifrado TLS, frente al 89 % del año pasado.
Amenazas futuras
Según una investigación reciente de Shape Security, que se incluye en el informe por primera vez, están surgiendo dos tendencias principales de phishing. Como resultado de la mejora de los controles de seguridad y las soluciones para el tráfico de bots (botnet), los atacantes utilizan cada vez más granjas de clics. Docenas de "trabajadores remotos" intentan sistemáticamente iniciar sesión en un sitio web de destino utilizando credenciales obtenidas recientemente. La conexión la inicia una persona mediante un navegador web estándar, lo que dificulta la detección del fraude.
Aquí, incluso un porcentaje relativamente pequeño de ataques puede tener consecuencias nefastas. Por ejemplo, Shape Security analizó 14 millones de registros mensuales con un proveedor de servicios financieros y registró una tasa de fraude del 0,4 por ciento. Sin embargo, eso equivale a 56.000 XNUMX intentos de inicio de sesión fraudulentos, y los números seguirán creciendo.
Proxies de phishing en tiempo real de tendencias
Como segunda tendencia, los investigadores de Shape Security notaron un aumento en los proxies de phishing en tiempo real (RTPP) que pueden capturar y usar códigos de autenticación multifactor (MFA). El RTPP actúa como una persona en el medio, interceptando las transacciones de una víctima con un sitio web real. Debido a que el ataque ocurre en tiempo real, el sitio web malicioso puede automatizar el proceso de captura y reproducción de autenticaciones de tiempo limitado, como códigos MFA. Incluso puede robar y reutilizar cookies de sesión. Los RTTP utilizados activamente recientemente incluyen Modlishka y Evilginx2.
"Los ataques de phishing tendrán éxito siempre que las personas puedan ser manipuladas psicológicamente de alguna manera", continuó Borovits. “Los controles de seguridad y los navegadores web deben ser mejores para alertar a los usuarios sobre sitios web fraudulentos. Pero los usuarios y las empresas también deben estar continuamente capacitados en las últimas técnicas utilizadas por los estafadores. Las tendencias actuales como el COVID-19 deben ser el foco de atención”.
Estudio con 5 años de datos como antecedentes
El Informe de phishing y fraude de este año examina los incidentes de phishing en función de la experiencia del Centro de operaciones de seguridad (SOC) de F5 durante los últimos cinco años. Detalla los sitios web de phishing activos y confirmados impulsados por OpenText Webroot BrightCloud Intelligence Services. También analiza los datos del mercado de la web oscura de Vigilante. En conjunto, esta información proporciona una imagen completa y coherente del mundo del phishing.
Directamente al informe en F5.com
Acerca de las redes F5 F5 (NASDAQ: FFIV) brinda a las empresas, proveedores de servicios, agencias gubernamentales y marcas de consumo más grandes del mundo la libertad de entregar cualquier aplicación de forma segura, en cualquier lugar y con confianza. F5 proporciona soluciones de nube y seguridad que permiten a las empresas aprovechar la infraestructura que elijan sin sacrificar la velocidad y el control. Visite f5.com para obtener más información. También puede visitarnos en LinkedIn y Facebook para obtener más información sobre F5, sus socios y tecnologías.