Ataques de phishing móviles | Se acabó el phishing (móvil)

escrito e investigado por Nicolás Chiaraviglio y Santiago A. Rodríguez

Los CISO de todo el mundo se esfuerzan por hacer frente a los ataques de phishing. Solo en el segundo trimestre de 2019, hubo cerca de 130 millones de ataques de phishing, que tuvieron lugar en diferentes tipos de dispositivos dentro de una empresa: computadoras de escritorio, computadoras portátiles y dispositivos móviles. Y por desafortunado que parezca, personas sin escrúpulos están utilizando la pandemia de coronavirus como una forma de aprovechar los ataques de phishing.

Los dispositivos móviles son aún más susceptibles a los ataques de phishing debido al factor de forma pequeño y la confianza inherente que tenemos por algo que está a nuestro alcance o en nuestras manos cuando no estamos durmiendo.

Las organizaciones empresariales han aumentado la exposición al riesgo como resultado del phishing móvil de múltiples formas. En este blog, haremos lo siguiente:

• Muestre cómo se pueden usar los ataques de phishing para entregar ransomware y malware, permitiendo que el atacante cree puertas traseras en las organizaciones;
• Explicar cómo los ataques de phishing pueden causar daños a las organizaciones, incluida la exposición de información privada y confidencial;
• Ilustrar cómo los dominios de phishing están activos mucho antes de ser detectados; y
• Exponga cuántas soluciones actuales requieren que los datos se envíen a la nube para su análisis, lo que plantea problemas de privacidad y cumplimiento.

Afortunadamente, el motor basado en el aprendizaje automático patentado de Zimperium que se ejecuta completamente en el dispositivo, identifica inmediatamente los intentos de phishing con una precisión del 99,99 % y protege al usuario sin enviar ningún dato a la nube.

Los Criterios clave recientes para evaluar las plataformas de protección contra phishing de GigaOm brindan una descripción general de las diferentes soluciones disponibles e incluyen Zimperium, la única solución de phishing móvil que cumplió con los criterios para ser perfilada. En el perfil de Zimperium, GigaOm afirma:

• En el ecosistema de prevención de phishing, el enfoque de Zimperium les permite implementar BYOD o sistemas administrados. Les da una ventaja con respecto a la amplia cobertura que incluye no solo el correo electrónico empresarial, sino todo el correo electrónico en el dispositivo, así como la mensajería, manteniendo la privacidad del usuario;
• Debido a su concepto, pueden cubrir más terreno que las plataformas tradicionales de prevención de phishing en dispositivos móviles; y
• Dedicaron gran parte de su I+D a comprender qué tipo de comportamientos y cambios indican no solo ataques de phishing, sino también dispositivos comprometidos, ataques de red y aplicaciones maliciosas.

Para leer el perfil completo de GigaOm sobre nosotros, haga clic aquí. Para escuchar nuestro webinar, haga clic aquí.

En Zimperium, sabemos que no existe un único enfoque milagroso; en cambio, la combinación correcta de técnicas es el enfoque más efectivo. Por lo tanto, diseñamos cremalleras: protección en el dispositivo para dispositivos móviles – con este concepto en mente, proteger al usuario de dispositivos, redes, aplicaciones maliciosas y ataques de phishing.

Utilizamos en paralelo técnicas probadas en la industria junto con técnicas únicas de aprendizaje automático para detectar no solo los dominios de phishing conocidos sino también el tipo de ataque más peligroso para una organización: Ataques de phishing de día cero. En última instancia, esto crea un escudo a prueba de balas alrededor de la información personal y corporativa de nuestros usuarios.

El núcleo de las soluciones de Zimperium es z9, el motor de aprendizaje automático patentado que se ejecuta completamente en el dispositivo e identifica inmediatamente los intentos de phishing con una precisión del 99,99 %. También estamos protegiendo al usuario sin enviar ningún dato a la nube.

z9 funciona independientemente de dónde provenga el ataque. Esto significa que los usuarios de Zimperium están protegidos independientemente del método de envío utilizado por un atacante (SMS, correo electrónico) o incluso del mal comportamiento del usuario (un usuario que hace clic en un enlace de phishing mientras navega).

Con pantallas más pequeñas y menos espacio para identificar URL problemáticas, los ataques de phishing en dispositivos móviles son cada vez más frecuentes y exitosos. Algunos estudios estiman que el 90 por ciento de los correos electrónicos se leen en dispositivos móviles y un porcentaje significativo de los ataques de phishing exitosos se realizan a través de dispositivos móviles.

El hecho de que los dispositivos móviles sean un punto final que contiene o accede a la misma información que los puntos finales tradicionales (escritorios y puntos finales) es una gran preocupación para los CISO.

Los ataques de phishing generalmente se realizan haciéndose pasar por una entidad confiable, lo que hace que la víctima piense que está proporcionando la información a una parte confiable. Este tipo de ataques se dirigen no solo a las computadoras de escritorio, sino también a los dispositivos móviles e incluso a las llamadas telefónicas.

Todos hemos recibido correos electrónicos que afirman que nuestra cuenta en una red social puede estar comprometida y debemos responder con nuestras credenciales para verificar si este es el caso. Probablemente también hayamos recibido ofertas para comprar productos en línea por un tercio de lo que realmente cuestan, y probablemente también hayamos heredado una fortuna de un pariente lejano desconocido que, por alguna razón, sabía de nosotros y nos dejó todo lo que tenía. Si ese es el caso, ¡felicidades! Has sido el objetivo de un ataque de phishing.

Otro uso de los ataques de phishing es engañar a la víctima para que descargue e instale malware, lo que le permite al atacante acceder al dispositivo cuando lo desee.

Hay varios tipos diferentes de ataques de phishing: engañoso, lanza (o ballena), clon, smishing y suplantación de identidad/manipulación de enlaces. Las definiciones a veces son borrosas y pueden cambiar de una fuente a otra.

Crear un ataque de phishing requiere cierto grado de habilidades técnicas, a menos que utilicen un kit de phishing, que permite la creación de dominios de phishing con un solo clic. Aterrador, ¿verdad?

Si quieres ir por la madriguera del conejo, haga clic aquí. Encontrará más información sobre ataques y kits de phishing.

Alerta de spoiler: todo. O al menos mucho. Los ataques de phishing son cada vez más sofisticados y la mayoría de los usuarios sin formación son víctimas de algún tipo de ataque. Cuando estos ataques tienen éxito, pueden causar robo de identidad, pérdidas financieras y comprometer la información personal.

Pero, ¿qué sucede cuando el objetivo es una empresa y no un individuo?

El daño puede ser inmenso, poniendo potencialmente en peligro la información del cliente, dañando la reputación de la empresa, causando pérdidas financieras o pérdida de propiedad intelectual. Además, los ataques de phishing también se pueden utilizar para entregar ataques de ransomware que cuestan miles de millones cada año.

Para tener éxito, un ataque de phishing contra una organización solo necesita un solo empleado tomando el anzuelo. Eso es todo. Solo uno. El eslabón más débil.

Echemos un vistazo al mundo de los ataques de phishing. Como dijimos antes, la mayoría de los ataques se hacen pasar por sitios legítimos, pero ¿cuáles? En general, cualquier sitio web conocido puede usarse para engañar a una posible víctima, pero cuanto más grande sea la marca, mejor.

Es más probable encontrar un ataque de phishing suplantando amazon.com que uno suplantando mylittleonlinestore.com (no se moleste en hacer clic en él, no es un sitio real).

Para responder a la pregunta anterior, analizamos tres meses de datos de sitios de phishing (octubre de 2019 – diciembre de 2019) sin repetición. Los datos más detallados están en nuestro Informe sobre el estado de la seguridad móvil empresarial, 2019.

La marca suplantada se determinó utilizando el motor de phishing pendiente de patente de Zimperium y se calculó el impacto de cada marca en el conjunto de datos.

No hay grandes sorpresas aquí. Lo siento Paypal.

¿Y de dónde vienen los ataques? Podemos vislumbrar la respuesta a esta pregunta al encontrar dónde se registraron los dominios de phishing.

Esto no significa necesariamente que la mayoría de los piratas informáticos estén ubicados en los EE. UU., sino que están registrando los dominios utilizados para el phishing en los EE. UU. Si consideramos registradores de dominios por número de dominios registradosy los agrupamos por país, terminamos con esto:

Comparando este gráfico con el anterior, es fácil sacar algunas conclusiones:

• La cantidad de dominios de phishing, en comparación con los dominios legítimos registrados en algunos países, sugiere que los estafadores eligen la ubicación en la que registran sus sitios web. Hay algunos países que son favorecidos por los atacantes. Esto se puede demostrar comparando la proporción de dominios de phishing con el número total de dominios registrados en un país específico.
• Países como Rusia y los Países Bajos tienen una gran cantidad de estafadores de phishing. Mientras que solo el 0,56 % y el 0,66 % de los dominios legítimos están registrados en esos países, el 4,3 % y el 3,4 % de la cantidad total de dominios de phishing están registrados en ellos.

Echemos un vistazo a la proporción de dominios de phishing registrados/(dominios de phishing + legítimos registrados) para algunos países:

Los países en los que los ratios son superiores a uno (coloreados en rojo) tienen más dominios de phishing de lo que se esperaría si se distribuyeran aleatoriamente. Por ejemplo, la República Checa tiene 4,42 veces más dominios de phishing de los que debería. Del mismo modo, Bulgaria tiene 457 veces más dominios de phishing registrados en sus servidores de lo esperado.

Esto puede explicarse por la proximidad geográfica (es decir, el atacante utiliza un registrador en el mismo país en el que se encuentra) o controles más bajos al registrar dominios.

Otra métrica interesante a considerar es cuánto tiempo permanecen activos los dominios de phishing. Consideraremos dos métricas diferentes:

1. Cuánto tiempo está activo un dominio antes de ser detectado como phishing.
2. Cuánto tiempo permanece activo un dominio después de ser detectado.

Necesitamos identificar tres momentos en la historia de un sitio web:

• Fecha de creación: se estimará en función de la información disponible públicamente sobre cada sitio web probado. Somos conscientes de que esta métrica no siempre es fiable, pero en la mayoría de los casos es una aproximación justa.
• Detección como sitio web de phishing: para realizar un análisis más objetivo y excluir las técnicas de detección de Zimperium, consideraremos que una URL es un sitio de phishing conocido en el momento en que aparece en las bases de datos de phishing abiertas de terceros.
• Quedarse inactivo: se determinará en función de los mismos recursos que el tiempo de detección. La incertidumbre de esta marca de tiempo será un día.

Para calcular la métrica n.º 1, trazaremos el número de días entre la detección y la creación. El histograma resultante se muestra a continuación:

Cada barra de este histograma representa cinco días. Acerquémonos un poco, ya que la mayoría de los sitios de phishing no permanecen activos tanto tiempo.

Afortunadamente, la mayoría de los sitios de phishing se detectan rápidamente. Alrededor del 35% de los sitios de phishing se detectan en los primeros tres días después de su creación. En cinco días se detecta el 41% de los sitios, mientras que en 10 días se detecta el 49% de los sitios. Esto significa que la mayoría de los sitios de phishing están activos durante más de 10 días, que es una ventana de tiempo lo suficientemente larga para realizar un ataque exitoso.

La métrica #2 se muestra como la cantidad de días que un sitio web permanece activo después de su detección. El histograma resultante se muestra a continuación:

Podemos ver que ambos histogramas son muy similares. Parece que ser detectado no tiene un efecto considerable sobre cuánto tiempo permanece activo un dominio determinado. Esto es indicativo de atacantes con experiencia muy limitada ya que no tiene sentido mantener un sitio web activo que ha sido detectado como un sitio web de phishing, cuando la mayoría de los navegadores lo bloquearán.

Lo más probable es que estos sitios web se desconecten porque se cumple la ventana de tiempo considerada por el atacante o porque los registradores los bloquean. En comparación con el caso anterior, después de tres, cinco y 10 días, el número de sitios detectados es 41%, 54% y 69%.

Por último, echemos un vistazo a cuántos de estos dominios usan cifrado. Esto se puede obtener simplemente observando el protocolo utilizado. Los sitios web que usan HTTP no usan cifrado, mientras que los sitios web que usan HTTPS usan SSL como parte de la comunicación.

La cantidad de dominios HTTPS representa el 47% del total de sitios web. Hace apenas un año, este número era del 10 %, lo que demuestra cómo los ataques se están volviendo más sofisticados..

No existe una única solución para detectar todos los tipos de phishing. Capacitar al usuario para que siga reglas simples (como no hacer clic en enlaces dudosos, usar un administrador de contraseñas y verificar dos veces con el remitente cuando se recibe un correo electrónico inesperado) puede ayudar a evitar ataques de phishing, pero como mencionamos anteriormente, se están volviendo cada vez más Estos ataques pueden engañar a expertos sofisticados e incluso en seguridad.

Algunas contramedidas automáticas son implementadas por diferentes soluciones, por ejemplo, los filtros de correo electrónico nos advierten si estamos recibiendo un correo electrónico de alguien que obviamente se hace pasar por alguien de nuestra lista de contactos. De la misma manera, proyectos colaborativos como tanque de phishing proporcionar bases de datos abiertas de sitios de phishing conocidos que utilizan los navegadores y las VPN para bloquear el acceso a estas URL.

Pero estos métodos no nos protegen contra sitios de phishing de día cero o actualmente desconocidos. Como mostramos antes, los sitios de phishing pueden permanecer sin ser detectados durante mucho tiempo antes de ser detectados, lo que hace que este enfoque sea ineficaz para ataques nuevos o silenciosos.

Si desea aprender cómo proteger sus dispositivos móviles de los ataques de phishing, por favor Contáctenos. Estamos aquí para ayudar.