La evolución del phishing específico para dispositivos móviles

por

En los últimos meses, el equipo de Zimperium zLabs ha estado monitoreando activamente el aumento de los ataques de phishing y algunos datos nuevos comenzaron a destacar. Si bien el phishing ha sido predominantemente agnóstico del dispositivo, lo que significa que no dependía ni cambiaba según el sistema operativo o el tipo de dispositivo, comenzó a surgir una tendencia que mostraba un aumento en los sitios web de phishing específicos para dispositivos móviles.

La elaboración de un ataque de phishing se vuelve más fácil cada día con herramientas y kits de phishing que permiten que incluso los usuarios novatos implementen sitios engañosos con solo unos pocos clics. Pero la detección de estos ataques no ha mejorado para muchos servicios de seguridad y la cantidad de ataques sigue aumentando con el tiempo.

Si bien existen diferentes tipos de ataques de phishing, el equipo de Zimperium zLabs ha estado monitoreando el aumento del phishing engañoso dirigido específicamente a terminales móviles.

Un ataque de phishing engañoso es el producto de los atacantes que crean sitios web que imitan marcas bien establecidas y encuentran formas de dirigir a los usuarios hacia ellos. Cuando un usuario envía sus credenciales al sitio comprometido, el atacante puede tomar el control de la cuenta de la víctima. La tendencia de los usuarios a reutilizar las contraseñas en muchas cuentas aumenta la gravedad de estos tipos de ataques y la propagación del compromiso. Esencialmente, una contraseña podría ser la clave para el reino de datos completo.

Dado que las fuerzas de trabajo remotas y distribuidas se han convertido en la norma para muchas empresas, es evidente que la infraestructura corporativa todavía está tratando de ponerse al día con la nueva normalidad. Desafortunadamente, esto ha dejado a los empleados sin las capas protectoras que existen dentro de los espacios de oficina, dejando los datos corporativos en riesgo de ser atacados. Y esta nueva norma también ha introducido el dispositivo móvil como un componente sumamente crítico para el flujo de trabajo del empleado promedio. Pero las pantallas más pequeñas de estos terminales son una ventaja para los atacantes; los datos críticos necesarios para que un usuario detecte si un enlace o un sitio web es phishing a menudo se ocultan a la vista, lo que hace que el enlace más débil sea aún más vulnerable.

Este se ha convertido en el mayor incentivo para que los actores maliciosos apunten específicamente a los dispositivos móviles.

El auge del phishing específico para dispositivos móviles

Confiar en herramientas de seguridad heredadas para detectar estas amenazas avanzadas de phishing en dispositivos móviles presenta mayores desafíos en comparación con cualquier otro entorno. Los conjuntos de herramientas de sandboxing comúnmente utilizados no brindan la información crítica necesaria para la detección avanzada, y los procesadores a menudo limitan la capacidad de análisis para cada dominio visitado. La dificultad para que los usuarios instalen y adopten extensiones de navegador aumenta la falta de información que cualquier solución de seguridad tiene disponible. En la mayoría de los casos, no es posible instalar extensiones de navegador en navegadores móviles. Hay algunas excepciones (recientemente Safari y Firefox anunciaron esta función), pero el procedimiento no es tan sencillo como en un navegador de escritorio y/o el catálogo de extensiones se reduce para móvil. Usando una extensión del navegador, la herramienta de análisis de phishing tiene visibilidad del contenido del sitio web como html, enlaces a recursos externos, URL completa, etc. Sabiendo esto, como regla general, las herramientas de análisis de phishing en el escritorio funcionan con más información que el análisis de phishing en el móvil.

Los atacantes son muy conscientes de esto y están centrando sus esfuerzos en ataques de phishing específicos para dispositivos móviles. Están utilizando dos estrategias diferentes, sitios web adaptables y receptivos, para generar contenido específico para dispositivos móviles.

Sitios web adaptativos

Los sitios adaptables cargan contenido completamente diferente según el dispositivo que accede a la página. Esto se logra al verificar el agente de usuario del terminal móvil y permite que el desarrollador muestre contenido específico solo para dispositivos específicos. Esta también es una manera fácil para que los sitios web maliciosos eviten la detección a través del tráfico de escritorio heredado o los analizadores de phishing.

El sitio de escritorio redirige a un sitio de señuelo (tres.co.uk), mientras que en el móvil las víctimas verían un sitio de phishing que imita a Netflix.

Los dos primeros ejemplos muestran un error 404 no encontrado cuando se accede al sitio a través de un agente de usuario de escritorio, pero se muestra como un sitio de phishing válido cuando se accede a través de un dispositivo móvil.

El tercer ejemplo es el más interesante de esta serie, ya que un usuario obtendrá un sitio válido independiente del agente de usuario, pero será redirigido a un sitio de phishing dirigido a Netflix solo si se accede al sitio web a través de un dispositivo móvil Android. De lo contrario, cualquier otro dispositivo, incluido iOS, será redirigido a otro sitio de señuelo legítimo. Si bien esta técnica se vio en el pasado con diferentes redirecciones basadas en el sistema operativo móvil, es un fuerte indicador de que se está explotando alguna vulnerabilidad del navegador. Esta es la misma técnica utilizada por el software espía pegaso a través de los servidores de validación, evitando que los investigadores de seguridad expongan la infraestructura de NSO.

Sitios web receptivos

Los sitios web receptivos ajustan la distribución y el tamaño de los objetos al tamaño de la pantalla del punto final que se conecta. Mientras se muestra el mismo contenido, aparecerá en diferentes tamaños y posiciones según el tamaño de la pantalla del dispositivo. La mayoría de los marcos de desarrollo web modernos generan contenido receptivo para una experiencia web cohesiva en todos los puntos finales. Pero este marco también brinda a los atacantes una ventaja cuando se trata de phishing.

Como ejemplo de este tipo de sitios, las imágenes a continuación muestran la diferencia de cargar el sitio de Paypal.com desde un dispositivo móvil y una computadora de escritorio.

La siguiente captura de pantalla muestra un sitio de phishing receptivo dirigido a Chase, cargado en una computadora de escritorio y en un dispositivo móvil.

El alcance de los ataques de phishing específicos para dispositivos móviles

La evolucion del phishing especifico para dispositivos moviles
Figura 7: Vista normalizada de la cantidad de ataques de phishing por dispositivo, detectados por Zimperium

Durante los últimos meses, el conjunto de datos internos de Zimperium ha mostrado un aumento en la cantidad de ataques de phishing en todo el mundo. Como Zimperium es un proveedor de seguridad móvil, correlacionamos los datos detectados con un aumento de los ataques de phishing dirigidos a dispositivos móviles. Pero para comprender mejor y verificar la teoría de una tendencia en el phishing específico para dispositivos móviles, recurrimos a datos externos para el análisis.

Llevamos a cabo un análisis de los datos de fuentes de datos tanto públicas como privadas durante un período de dos años y medio y buscamos sitios receptivos y adaptables. En ese período de tiempo, se analizaron 500 mil sitios de phishing. Como parte de la investigación, eliminamos los datos de phishing provenientes de nuestra propia información sobre amenazas para evitar sesgar los resultados.

Trazamos el porcentaje de sitios de phishing que pueden explotar los dispositivos móviles mes a mes, lo que revela la tendencia al alza en los sitios web de phishing específicos para dispositivos móviles. Los datos analizados de datos de terceros muestran un aumento de más del 50 % en los sitios web de phishing específicos para dispositivos móviles en el período analizado.

1678637344 480 La evolucion del phishing especifico para dispositivos moviles
Figura 8: Porcentaje de sitios de phishing detectados capaces de mostrar contenido específico para dispositivos móviles.

Mirando los datos en conjunto, la imagen se vuelve cada vez más clara ya que el 75% de los sitios de phishing analizados se adaptan a los dispositivos móviles a través de una de las dos técnicas mencionadas. Las partes malintencionadas se dirigen específicamente a los dispositivos móviles con ataques de phishing, aprovechando el aumento de la popularidad y el uso, así como los matices de su uso. Y con gran éxito al enfrentarse a herramientas antiphishing y capas de seguridad heredadas.

Phishing móvil a través de aplicaciones

Seríamos negligentes si no habláramos sobre el uso de aplicaciones comprometidas y maliciosas para el phishing. Estas aplicaciones maliciosas, que se encuentran comúnmente en tiendas de aplicaciones de terceros dirigidas a dispositivos iOS y Android, utilizan engaños y un lenguaje inteligente para manipular a las víctimas para que instalen estas aplicaciones en sus dispositivos móviles. Una vez instalado, el usuario a menudo caerá en las mismas estafas que se encuentran en estos sitios de phishing móviles, comprometiendo sus datos y credenciales a los ciberdelincuentes.

Recientemente, el equipo zLabs de Zimperium descubrió una campaña de malware con el nombre en código FlyTrap. Si bien estas aplicaciones parecen ser legítimas, terminaron robando las credenciales de Facebook y las cookies de sesión para tomar el control de las cuentas de redes sociales de la víctima.

La seguridad contra el phishing es una seguridad crítica

La detección de phishing es difícil y no existen soluciones únicas para todos. La mayoría de los sistemas heredados se basan solo en listas de colaboración colectiva y tecnología básica de sandbox. Si bien estos enfoques proporcionaron una cobertura decente de N días, la mayoría de los sitios de phishing solo están activos durante unos pocos días. Y estas capas heredadas no hacen nada para proteger contra los ataques de phishing de día cero.

La protección de día cero es fundamental para las organizaciones. Es probable que un enfoque basado en listas de bloqueo proteja contra campañas de objetivos amplios, pero si una organización se dirige directamente a una campaña de phishing selectivo, los sitios utilizados no estarán en ninguna lista de bloqueo disponible públicamente.

No es ningún secreto que los puntos finales de escritorio tradicionales tienen una ventaja sobre los sistemas móviles, ya que no tienen fuertes restricciones en cuanto a la potencia de procesamiento. Y si bien las extensiones de navegador, que tienen la mejor oportunidad de detectar sitios de phishing, se usan ampliamente en computadoras de escritorio, no son comunes entre los usuarios de dispositivos móviles, lo que impide la adopción de estas capas de seguridad. Los atacantes lo saben y se están adaptando para atacar a los usuarios móviles.

Mayoría Las soluciones heredadas de phishing móvil utilizan servicios en la nube para clasificar los sitios como maliciosos o legítimos. Si bien es efectivo, todavía hay un retraso en la determinación, lo que presenta una oportunidad para un atacante debido a la cantidad limitada de procesamiento que se puede realizar en cada sitio. Estas capas de búsqueda también han demostrado ser triviales para que un actor malintencionado las eluda en la red.

En Zimperium abordamos el phishing con una mentalidad avanzada de defensa en profundidad. Nuestra solución impulsada por aprendizaje automático brinda seguridad en el dispositivo, capaz de detección de día cero incluso cuando el dispositivo no está conectado a una red. Esta capa de aprendizaje automático se complementa con mecanismos de detección estándar, aprovechando la amplia inteligencia creada por la comunidad para detectar los días N de phishing. Y finalmente, la solución de seguridad contra phishing tiene una capa basada en la nube que permite un mayor análisis de sitios web potencialmente maliciosos.

Los clasificadores de ML de Zimperium utilizan diferentes enfoques para clasificar sitios individuales para evitar que las técnicas de evasión hagan que la clasificación sea inútil. Entonces, incluso cuando los sitios web están muy ofuscados, aún pueden procesarse. Al mismo tiempo, se utilizan clasificadores de malware de última generación para evitar que las aplicaciones maliciosas exploten el phishing basado en aplicaciones.

Acerca de Zimperium

Zimperium, el líder mundial en seguridad móvil, ofrece la única protección basada en aprendizaje automático, en el dispositivo y en tiempo real contra las amenazas de Android, iOS y Chromebook. Con la tecnología de z9, Zimperium brinda protección contra ataques de dispositivos, redes, phishing y aplicaciones maliciosas. Para obtener más información o programar una demostración, Contáctenos hoy.

1669383135 916 Dont Give Me a Brake Xiaomi Scooter Hack permite aceleraciones

Relacionado:

Ataques de phishing moviles Se acabo el phishing movil Ataques de phishing móviles | Se acabó el phishing (móvil) Una historia de dos phishing lecciones de los ataques de Una historia de dos phishing: lecciones de los ataques de Spear Phishing por SMS de Twilio y Cloudflare Por que el phishing es tan eficiente en dispositivos moviles¿Por qué el phishing es tan eficiente en dispositivos móviles? Zimperium protege a los usuarios moviles del ataque de phishing Zimperium protege a los usuarios móviles del ataque de phishing de Microsoft O365 SharePoint Twitter Hack destaca las realidades del phishing movil Twitter Hack destaca las realidades del phishing móvil Sin parche para la omision de la politica del mismo Sin parche para la omisión de la política del mismo origen (SOP) en dispositivos Android antiguos

Deja un comentario