VPN

Estadísticas y tendencias de phishing en 2020 [pronóstico para 2020]

Nos acercamos a finales de 2019 ahora. Este año hasta ahora ha sido muy productivo en innovación. Las empresas ahora más que nunca recurren al mundo digital para manejar todo, desde la nómina hasta los contratos inteligentes. No es de extrañar, entonces, que las estafas de phishing estén vigentes.

Aún así, el phishing es un término un tanto vago para la actividad de fraude digital que ha ocurrido este año. ¿Cómo podemos acabar con el phishing en 2019? Necesitamos observar hechos, estadísticas y jerga particulares para comprender a qué nos enfrentamos durante el resto de este año. También necesitamos comparar patrones que se trasladaron de los últimos años en 2019. Esto nos ayudará a pronosticar los incidentes de phishing de 2020.

>Definición>

Un ataque de phishing básico se producirá a través de mensajes de correo electrónico y anuncios. Por lo general, estos correos electrónicos incluirán un enlace o un archivo que pondrá en peligro el sistema informático del destinatario. A menudo, estos ataques también redirigen a una página de inicio de sesión que se parece al inicio de sesión legítimo de una aplicación en la que la víctima prevista ya está activa. Esta página de inicio de sesión se verá como un sistema de correo electrónico común como Gmail o un identificador familiar de redes sociales como Facebook.

Tenga en cuenta que, si bien esta definición básica nos ayuda a entender el phishing como un concepto, no es suficiente. El phishing se está volviendo increíblemente más sofisticado a diario.

Hechos de un vistazo 

Entre 2018 y 2019 ha habido patrones de phishing recurrentes. Podemos observarlos de un vistazo para tener una idea de a qué nos enfrentamos. Lo siguiente proviene de un informe de PhishLabs que compara 2018 con 2019. De la siguiente manera:

  • En circunstancias normales, los phishers deben hacerse pasar por una sola institución financiera. Esto le quita algo de efectividad a sus ataques. Muchas de las víctimas objetivo del phisher no serán clientes del banco que señala la estafa. Modelar las alertas de e-Transfer interbancarios es atractivo para los ciberdelincuentes. Les da el apalancamiento para apuntar a varias cadenas bancarias diferentes a la vez.
  • Los ataques de phishing parecen corresponder con un aumento en el uso del sitio de alojamiento gratuito. Entre 2015 y 2018, las operaciones de estafa de phishing habían duplicado su uso de alojamiento gratuito del 3,0% al 13,8%.
  • El alojamiento de phishing subió durante el primer trimestre comercial de 2018. Después de eso, se mantuvo prácticamente igual por volumen. Excepto entre agosto y septiembre cuando hubo un pico adicional. Hay un buen margen de comparación entre este pico y septiembre-octubre de 2019.
  • Los sitios de phishing se preparan fácilmente con un kit de phishing. Esto se hace más fácil con los servicios de alojamiento gratuitos. Un actor de amenazas puede producir una gran cantidad de sitios. Incluso durante un corto período de tiempo, el alcance de un actor de amenazas se extenderá masivamente. Este volumen puede ser producido por una pequeña cantidad de phishers.
  • 000webhostapp fue el host gratuito más popular para la actividad de phish en 2019. Representó el 69% de phish alojado libremente.
  • Hubo un riesgo observable de phishing por SMS en 2018. Muchas personas no esperan que haya un riesgo de phishing en sus teléfonos y textos abiertos de forma instintiva. Los SMS tienen perspectivas de rastreo mucho más difíciles. Los kits de phish para programas de phish móviles configuran un inicio de sesión simulado para aplicaciones móviles que superan un alto nivel de autenticidad.
  • Es importante recordar que los ataques de phishing todavía tienen una alta tasa de éxito. Las estafas de phishing son competencia de los ciberdelincuentes novatos. Usan estas estafas para obtener acceso a credenciales. También lo usarán para distribuir ransomware.
  • El crimen organizado utiliza el phishing para robar millones. Los estados-nación utilizan el phishing para identificar estrategias y obtener información privilegiada sobre un entorno objetivo.
  • Los ataques de phishing se están infiltrando en todos los rincones del mundo digital. El correo electrónico no es el único objetivo. Los equipos de tecnología deben comenzar a vigilar el phishing en las redes sociales, SMS, aplicaciones móviles, transmisión, etc. Todo lo que se pueda digitalizar será phishing en algún momento.

Rompiéndolo 

Incluso con algunos patrones comunes, no hay dos estafas de phishing iguales. A menudo son similares, pero siempre hay un error en el sistema que los hace difíciles de detectar. Tenemos que reducir el comportamiento común para mantenernos protegidos. No se trata solo de observar las tasas estadísticas de los delitos. Se trata de meterse en las cabezas de los phishers. Piense como un phisher para evitar el phishing.

Symantec elaboró ​​un artículo de investigación para el Informe de amenazas a la seguridad de Internet en febrero de 2019. Esto es lo que descubrieron sobre el phishing:

Abrev. De compromiso de correo electrónico comercial. Los incidentes de phishing por correo electrónico de BEC de 2017-2019 compartieron palabras clave comunes. A continuación se muestran gráficamente en orden de frecuencia y el aumento del porcentaje de uso.

Aumento de palabras en porcentaje de uso 

urgente 8.0
solicitud 5.8
importante 5.4
pago 5.2
atención 4.4

Crecimiento por debajo de 4.0

pago pendiente 4.1
info 3.6
actualización importante 3.1

Crecimiento inferior a 3,0

attn 2.3
Transacción 2.3

Podemos ver en estas estadísticas que las estafas de phishing se están volviendo más sofisticadas. Están pidiendo “atención” “urgente” a un ritmo mucho más alto de lo que están pidiendo una transferencia de pago total. Esto infiere que el phisher está familiarizado con los métodos cambiantes de prevención del fraude. Están buscando una laguna jurídica en las estrategias anti-phishing.

Desarrollar una sólida victimología por phishing

Por lo tanto, podemos ver qué tipo de jerga de los estafadores están usando en estos gráficos anteriores. ¿Contra quién están usando este lenguaje? ¿A quién se dirigirán que tenga más probabilidades de abrir un correo electrónico con este tipo de idioma en la línea de asunto o en el cuerpo del texto?

Para entender eso, tendremos que desarrollar una comprensión profunda de quiénes fueron las víctimas en los ataques de phishing de 2017-2019.

Pequeñas y medianas empresas en lista de ser víctimas de suplantación de identidad 

La investigación de Symantec descubrió que la tasa de phishing por correo electrónico según el tamaño del modelo comercial era más alta en el rango de empresas medianas. Las empresas con el mayor número de ataques de phishing tenían alrededor de 1,001-1500 empleados. De los usuarios dentro de ese rango de tamaño, 56 de esos 1,001-1,500 empleados eran los objetivos. Esto oscila entre el 3,73 y el 5,59% de los empleados de empresas de este tamaño.

Symantec también descubrió que el 48% de todos los correos electrónicos maliciosos son archivos de trabajo. Suelen ser archivos adjuntos. El correo electrónico se disfrazará como una notificación de software comercial, información de transacciones, como una factura o un recibo. Los archivos de Office adjuntos contendrán un script malicioso. Al abrir el correo electrónico, se descarga el código de secuencia de comandos y se completa la transferencia de malware a los sistemas de oficina.

Entonces, podemos ver desde arriba que solo un pequeño porcentaje de las personas en estas empresas están siendo atacadas. Si fuera mucho más grande, la sospecha se extendería más rápido. Todo el equipo de la oficina tendría más posibilidades de sabotear el ataque. Este pequeño porcentaje de los empleados objetivo debe tener una razón sólida para abrir los correos electrónicos infectados.

El pequeño porcentaje de empleados específicos trabaja en finanzas y recursos humanos. 

Vuelva a los hallazgos de Phishlab para 2018-2019. El 98% de los ataques en las bandejas de entrada de los usuarios no incluían malware. La gran mayoría de las estafas de phishing de la bandeja de entrada de 2018 fueron el robo de credenciales y las estafas por correo electrónico. Para 2018, los señuelos más efectivos fueron para técnicas de estafa financiera / de recursos humanos y comercio electrónico. Estos señuelos funcionaron en objetivos corporativos. El 83,9% de estos ataques se dirigieron a cinco industrias clave. Estos ataques tenían como objetivo credenciales para servicios financieros, de correo electrónico, en la nube, de pago y SaaS.

A partir de esto, podemos ver que el pequeño porcentaje de la base de empleados objetivo son aquellos en los roles de comunicaciones corporativas. Estas son personas de recursos humanos y gerentes financieros. La tipología exacta que se apresuraría a abrir un correo electrónico con la etiqueta “urgente”.

Este grupo de personas está altamente capacitado en estafas financieras, ¿verdad? Entonces, si están mordiendo el anzuelo, entonces estos ataques tienen un alto nivel de sofisticación. También serán transparentes. El empleado de recursos humanos o financiero no podrá detectar nada sospechoso con el correo electrónico de un vistazo. ¿Porqué es eso?

Para el alcance del estudio de Symantec, la mayor cantidad de contenido de archivos adjuntos de correo electrónico malicioso fue scripts con un 47,5%. Esto fue seguido por ejecutables y otros archivos adjuntos.

¿Qué son los scripts de phishing? 

Entonces, ¿qué es un guión? ¿Cómo compromete esto su sistema de TI incluso sin usar malware?

Un script es un fragmento de código que escribirá el pirata informático de phishing que se ejecutará en segundo plano del correo electrónico que abre el equipo de recursos humanos. No tiene que tener ningún virus para ser dañino. Simplemente encontrará una manera de espiar su sistema. Los piratas informáticos suelen utilizar esto para robar información financiera del interior del sistema.

Los piratas informáticos utilizarán scripts complejos en su trabajo de phishing. Cuanto más sofisticada sea la técnica de phishing, más scripts diferentes estarán en juego. Las tendencias favoritas entre los piratas informáticos que se pueden observar se han escrito en Python y Ruby.

Estudios de caso del mundo real 

Ahora que entendemos el rango objetivo y la victimología de los ataques de phishing, debemos echar un vistazo a algunos de los casos más infames de 2019 hasta ahora. Es bueno analizar lo que le salió mal a otra persona para evitar los mismos errores. De esa manera, estos ataques pueden significar algo más que un golpe y una ejecución en un negocio que incluso puede haberles costado la entidad.

Algunos de estos éxitos han sido demasiado cercanos para su comodidad y recientes. Uno de esos casos infames nos llegó a través de un informe de Healthcare Drive que apareció en agosto de 2019.

Ataque de phishing del hospital presbiteriano que comprometió los datos de 183.000 pacientes

Los ataques de phishing en la cadena de hospitales Presbyterian expusieron tanto a los pacientes como a los miembros del plan de salud. Esto sucedió en la red integral basada en Nuevo México. La brecha fue descubierta el 6 de junio en Nine-Hospital. Las cuentas de correo electrónico expuestas incluían credenciales de pacientes. Se expusieron nombres, miembros del plan de salud, números de seguro social, fechas de nacimiento e información confidencial clínica y del plan.

El equipo de Presbyterian no pudo encontrar ningún uso malintencionado de los datos recopilados. Tampoco pudieron determinar si los phishers habían obtenido acceso a los sistemas de facturación o EHR de Presbyterian.

Sin embargo, eso no significa que el ataque no haya tenido consecuencias. De hecho, este tipo de ataque es peor. Las víctimas pueden cambiar su información financiera y sus credenciales con algo de paciencia. Sin embargo, los datos pueden recircularse por fraude e incluso venderse.

Un ataque similar al General de Massachusetts 

El ataque de phishing se lanzó el 9 de mayo. Eso significa que estuvo en el sistema durante casi 2 meses antes de que se detectara.

Healthcare Drive también informó de un ataque al Hospital General de Massachusetts en agosto. El ataque estuvo relacionado con dos programas informáticos. Los investigadores del departamento de neurología los estaban utilizando. La información de salud personal de más de 10,000 pacientes estuvo expuesta a través de ese ataque. Esta brecha se descubrió antes que la del hospital de Nuevo México. El ataque se lanzó entre el 10 y el 16 de junio (no se indica la fecha exacta). El hospital lo descubrió el 24 de junio.

La conclusión de estos casos 

En 2019, estamos viendo un patrón con los establecimientos de salud. Debido a que el uso de datos se está volviendo mucho más sofisticado en 2019, el valor de los datos está aumentando. Por lo tanto, el robo de datos en sí mismo suele ser más valioso que en años anteriores, cuando los phishers solo estaban interesados ​​en hacerse con dinero en efectivo.

Desarrollar un perfil criminal para phishers

Es importante comprender la victimología detrás del phishing. Aún así, es solo la mitad del trabajo. Para detener a un phisher, debes pensar como un phisher. ¿Quienes son? ¿Cuál es el motivo de sus delitos de phishing?

Resulta que el phishing es la evolución del phreaking . Phreaking fue el nombre que le dieron a los hackers de telecomunicaciones. Los phishers son solo las represalias cyber punk de los ladrones de identidad clásicos. Si nos enfocamos en eso, podemos formar un perfil criminal que ayudará a comprender mejor la motivación detrás de los phishers.

El Departamento de Justicia de los Estados Unidos ha pasado décadas explorando y desarrollando perfiles criminales para ladrones de identidad en general.

Asimismo, el Centro para la Gestión de Identidad y Protección de la Información ha perfilado datos de casos federales de 2008-2013 que estudian el robo de identidad. Publicado en 2015. Puedes leerlo aquí .

Comparación del estudio CIMI 2015 sobre ladrones de identidad con phishers de 2019

En la investigación de CIMI, los casos de infractores más altos por robo de identidad y delitos asociados como fraude bancario y fiscal vinieron de Florida. Esto fue seguido por California como el segundo porcentaje más alto de delincuentes.

Los 5 estados con el mayor número de delitos de robo de identidad son los siguientes:

  • Florida
  • California
  • Texas
  • New Jersey
  • Georgia

Un hecho interesante a tener en cuenta es que todos estos estados tienen pueblos costeros. Todos ellos son también atractivos turísticos y comerciales. Si comparamos este hecho con las tendencias de los phisher, notamos que las industrias a las que se dirigen los phishers, como la hotelería y las finanzas, a menudo podrían ser locales. Es probable que los phishers y los ladrones de identidad estén familiarizados con las víctimas a las que se dirigen en esos casos.

Para los grupos de edad de los delincuentes, el estudio encontró un aumento en las últimas dos décadas de delincuentes de mediana edad. Aún así, el 36,7% de los delincuentes por robo de identidad en 2007 tenían entre 25 y 34 años.

El 86,7% de los infractores observados en este estudio eran residentes legales nativos de los Estados Unidos.

Solo el 6,1% de los delincuentes de robo de identidad en ese momento eran extranjeros ilegales.

Un tercio de los ladrones de identidad eran mujeres. Esto significa que en 2007, los hombres predominaban en las estadísticas de ladrones de identidad. Esto no cambió para la actualización de 2015 del estudio, pero las estadísticas de robo de identidad femenina aumentaron.

En 2007, más ladrones de identidad operaban como parte de una red de estafadores que como una sola persona. Ya en 2007, hubo un gran aumento en el uso de Internet para el robo de identidad. Esto nos muestra que los delincuentes que probablemente sean ladrones de identidad de casos habituales también es probable que sean phishers.

Beneficios grupales de las estafas de credenciales__la recompensa del phishing

A menudo, los fraudes de identidad fueron un equipo de marido y mujer. Además, los grupos que participaron en ataques de identidad de estilo phishing en este estudio ejecutaron redes de fraude de compradores. Robaron información de tarjetas de crédito de víctimas en línea. Luego, convirtieron la información robada en tarjetas de crédito falsas. Utilizarían las tarjetas de crédito para comprar grandes cantidades de artículos al por menor. Luego devolverían o transportarían estos artículos para convertirlos en efectivo. Explotarían a los adictos a las drogas y a las personas sin hogar intercambiando el dinero que recolectaron a través de la compra fraudulenta por los números de seguridad social y otras credenciales de estas personas vulnerables.

Utilizarían las credenciales de estas personas que habían caído en el sistema para luego obtener licencias de conducir falsas y otras credenciales falsas. Utilizarían estas nuevas credenciales para asumir una identidad en el estado de residencia que sería el individuo explotado si estuviera registrado. A partir de ahí, usarían estas credenciales para crear cuentas bancarias falsas. A continuación, podrían falsificar cheques de estas cuentas.

Los ladrones de identidad en el estudio anterior mostraron patrones de uso de información de identidad robada para cometer otros delitos relacionados con el fraude.

En este estudio, a menudo las víctimas del robo de identidad eran desconocidos para el ladrón. La actualización de la era de 2015 de este estudio mostró que a menudo la relación entre el agresor y la víctima era cliente y cliente.

Sabemos por este informe que estas personas a menudo actúan como un grupo celular interno. Se benefician de eludir al gobierno y de explotar objetivos fáciles. A lo largo de los años, el perfil de las propias víctimas no se ha determinado en piedra. Sin embargo, las estafas de phishing, con su mayor acceso a Internet, generan una mayor tasa de objetivos individuales. Buscarán a una persona dentro de una empresa cuyo compromiso llevaría a toda la entidad a la estafa.

Lecciones sobre phishing de los propios piratas informáticos 

Entonces, ahora tenemos ataques de victimología bastante sólidos. Conocemos a la gente exacta que necesitamos para entrenar pesos pesados ​​para estos incidentes. También sabemos qué grupos de enfoque deben ser observados y examinados más frente a amenazas internas.

Ahora bien, podría ser útil crear una metodología criminal para los propios ataques. ¿Cuál es el desglose exacto de una estafa de phishing? Estudiamos los métodos enseñados por Pentest Geek , un grupo de piratería ética que utiliza escenarios y simulacros de piratería para actuar como un simulacro de incendio para los equipos empresariales. Tienen una guía completa para el proceso de ataque de phishing. Lo publicaron el 18 de septiembre de 2019.

El proceso paso a paso para un ataque de phishing común se ve así: 

  • Enumerar las direcciones de correo electrónico 

Lo primero que hará su phisher es enumerar la lista de correo electrónico. Tienen que determinar exactamente a quién quieren enviar estos correos electrónicos. Para hacer esto, usarán un servicio como Jigsaw.com. Jigsaw enumerará los correos electrónicos automáticamente para el aspirante a phisher. Con Jigsaw, el phisher tendrá el apoyo de una base de datos y podrá exportar este conocimiento a archivos CSV. El sistema de Jigsaw intentará bloquear este script. Los piratas informáticos operarán en la versión más reciente disponible. Operarán desde una cuenta gratuita de jigsaw.com. Pasarán sus credenciales como argumentos en el cil.

Una opción alternativa es la cosechadora. Harvester es un script de Python que forma parte de BackTrack5 y se encuentra en / pentest / enumeration / theharvester. Este script puede buscar rápidamente en diferentes motores de búsqueda. Como su nombre lo indica, luego recopilará las direcciones de correo electrónico enumeradas que encuentre.

  • Evadir los sistemas antivirus 

El phisher luego estudiará su sistema antivirus. Necesitarán saber con qué sistema están tratando para poder encontrar un punto débil. Evadir su antivirus es la laguna que estos ejecutores de scripts tienen para infectar su base de datos de información confidencial. Una forma es espiar su caché de DNS. Pueden ver el tipo de antivirus que usa su víctima desde el caché de DNS.

Una vez que hayan determinado qué tipo de antivirus está utilizando la empresa, el hacker descargará el mismo sistema o uno similar. Lo estudiarán por su cuenta para formar el mejor plan para hacerlo.

  • Uso de filtrado de salida 

El phisher necesitará elegir una carga útil. Algunos de los favoritos son reverse_https o reverse_tcp_all_ports. Este segundo no es tan familiar para algunos piratas informáticos de nivel bajo a intermedio. En esencia, reverse_tcp_all_ports implementa un manejador TCP inverso y trabaja con stagers “allports”. Es como una escucha telefónica. Escucha en un solo puerto TCP. Luego, el sistema operativo redirige todas las conexiones entrantes en todos los puertos al puerto de “escucha”.

Los hackers suelen utilizar sistemas basados ​​en Linux. Este sistema operativo es esencial para la parte técnica más pesada de este proceso. El filtro captura información esencial del sistema de la víctima para el pirata informático. Al mismo tiempo, pueden utilizar la operación de piratería basada en Linux para iniciar sesión de forma remota. También utilizan estos sistemas de https inverso para ocultar su tráfico en su sistema. Los sistemas de prevención de intrusiones tienen dificultades para detectar la presencia maliciosa porque parece un tráfico HTTPS normal. La única forma en que los piratas informáticos quedarían atrapados en el acto en este caso es si la corporación está realizando una inspección profunda de paquetes con eliminación de SSL.

  • Elija un escenario de phishing por correo electrónico 

Luego viene la parte más fácil. El hacker encontrará una plantilla y un escenario que funcionará como el atractivo perfecto para el correo electrónico. Recuerde, en estadísticas recientes, el pirata informático a menudo apunta a alrededor del 3-5% del personal de las pequeñas y medianas empresas. Van a ir tras los roles de gestión de credenciales, como recursos humanos o finanzas. Publicarán correos electrónicos que parezcan provenir de la red de bancos comerciales. Estos correos electrónicos se etiquetarán como informes “urgentes” que necesitan la atención inmediata de la víctima.

  • Servidores proxy web de Sidestep

Los piratas informáticos identificarán qué servidores proxy web está utilizando su víctima objetivo. El servidor proxy web impedirá que la red empresarial visite determinados sitios. Algunos de estos sistemas incluso están equipados con protección antivirus. Esto significa que el servidor proxy web puede impedir que la víctima descargue el ejecutable que envió el phisher. El phisher tendrá que encontrar una manera de eludir esto para obtener lo que quiere. Luego invertirán en su estafa comprando un certificado SSL válido para el sitio malicioso. Esto significa que cuando el usuario víctima visita el sitio certificado por SSL, un túnel encriptado se canaliza hacia la estafa de phishing.

  • Envíe los mensajes de phishing

Los hackers tienen algunas opciones aquí. Pueden falsificar un correo electrónico o pueden comprar un dominio real para que la artimaña sea aún más convincente.

Si eligen enviar desde un dominio válido, a menudo van a sacar provecho de un mercado de dominios barato. GoDaddy es la opción de compra de dominio barata más popular en este momento. Algunas ofertas de venta de dominios nuevos los tienen en la lista a un precio tan bajo como $ 1.17, impuestos y tarifas incluidos.

Muchos de los sitios comprados a través de GoDaddy tienen una función de correo electrónico. El hacker accederá a la función “crear un correo electrónico” del dominio y la utilizará para crear una cuenta de correo electrónico para su sitio.

El pirata informático ingresará al código de la cuenta de correo electrónico de GoDaddy y cambiará toda la información de identificación de “Quién es”. Utilizarán este código para ejecutar una rutina de impostor convincente en la web para su estafa de phishing. Tendrán que realizar una comprobación de coincidencias con el sitio web que quieren engañar para asegurarse de que todo se refleje legítimamente. Esto tiene que parecer lo más real posible.

En este punto, podrían elegir un proveedor de correo electrónico para destruir los correos electrónicos de phishing. Sin embargo, las operaciones más sofisticadas las ejecutarán como los scripts mencionados anteriormente.

Los piratas informáticos del informe Pentest Geek

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba