Métodos de phishing como servicio aumentan las estafas por correo electrónico
Introducción
Dado que gran parte de las comunicaciones corporativas del mundo se realizan a través del correo electrónico, los cibderdelincuentes atacan cada vez más a los usuarios corporativos con estafas de suplantación de identidad (phishing), que les permiten robar credenciales que se pueden usar para estafas de Business Email Compromise (BEC), ingeniería social o para robar secretos corporativos.
En el pasado, las campañas de phishing requerían que los actores ciberdelincuentes tuvieran algún conocimiento técnico para utilizar los kits de phishing, sitios para alojar las páginas de destino de phishing, que se usaban para robar credenciales y crear campañas de spam realistas.
Para superar esta barrera de entrada, se están desarrollando nuevos sitios criminales que proporcionan un Phishing como servicio que incluye un kit de phishing y alojamiento para formularios de phishing a un costo muy bajo. Esto permite que los posibles delincuentes con poco conocimiento técnico puedan comenzar fácilmente con sus propias campañas de phishing.
El phishing como servicio impulsa el crecimiento
En lugar hackear los servidores para alojar las páginas de destino y desarrollar sus propios kits de phishing, se están creando nuevos sitios de phishing como servicio (Phishing-as-a-Service – PhaaS) donde los delincuentes pueden seleccionar entre una variedad de páginas de inicio y alojamiento de phishing durante un mes.
Las plantillas de phishing disponibles incluyen Sharepoint, Office 365, LinkedIn, OneDrive, Google, Adobe, Dropbox, DocuSign y muchos más. Estas plantillas van desde $30 a $80 e incluyen un mes de alojamiento para la página.
Según un nuevo informe del proveedor de seguridad basado en la nube Cyren, estos nuevos servicios han permitido el rápido crecimiento de las nuevas campañas de phishing que se están creando.
“La realidad de hoy es que estamos viendo campañas de phishing más evasivas en manos de más atacantes con menos esfuerzo y menor costo que en el pasado, ya que los desarrolladores de ataques de phishing técnicamente sofisticados han adoptado un modelo de negocio SaaS para permitir que incluso el criminal más aficionado quiera usar estos sitios web dirigidos con un alto grado de autenticidad y tácticas evasivas integradas”, afirmó Cyren en el informe.
Por ejemplo, el investigador de seguridad de Cyren, Magni Sigurdsson, compartió con BleepingComputer una oferta de PhaaS que se describe a sí misma como un “proveedor de servicios privado” para el alojamiento de páginas de correo no deseado.
Ofertas
“Somos un proveedor de servicios privado que brinda a los clientes una solución para el alojamiento de páginas de spam. Lo que hacemos es garantizar a nuestro cliente un enlace de 1 mes, le proporcionamos al cliente 3 enlaces como respaldo. El cliente puede usar dos enlaces como respaldo si el enlace falla o es reportado como phishing, el cliente puede regresar e informar que los 3 enlaces están muertos o reportados por phishing y nosotros proveemos otros 3 enlaces como reemplazo”
Estos servicios garantizan que las páginas de destino del phisher permanecerán activas durante un mes. Se desconoce si esto es cierto o no, o si se intercambian de un proveedor de la nube o host comprometido a otro a medida que se detectan.
Mediante el uso de un servicio PhaaS, los estafadores solo tienen que centrarse en el spam de los correos electrónicos y ya no tienen que preocuparse por la instalación de kits de phishing y sitios de hacking para alojar sus páginas de destino.
Para facilitar la conducción de las campañas de spam, los servicios PhaaS también venden listas de correo electrónico, o lo que ellos llaman prospectos, que pueden usarse para dirigirse a un determinado grupo demográfico de usuarios.
Por ejemplo, el paquete “FRA France Leads” que se muestra arriba se describe que contiene ” más de 1.5 millones de leads de Francia” que son “verificados y genuinos”.
Los precios de estos clientes potenciales no están disponibles y los compradores deben comunicarse con el propietario del sitio a través de ICQ para obtener los precios.
Métodos avanzados y evasión creciente
Con los sitios de Phishing como servicio que ayudan a impulsar el crecimiento de las campañas de phishing, los usuarios y el software de seguridad se han vuelto mejores para detectarlos. Debido a esto, los ciberdelincuentes han tenido que idear métodos más innovadores para que las personas hagan clic en los enlaces adjuntos y evadan la detección.
Por ejemplo, hemos visto recientemente campañas de phishing simulando ser correos electrónicos de notificaciones de eliminación de la cuenta, mensajes de correo no entregados, y los mensajes de correo de voz falsas. Todos estos correos electrónicos están diseñados para hacer que el usuario haga clic en el enlace adjunto que conduce a las páginas de destino que solicitan las credenciales de inicio de sesión.
Estafa de phishing por correo de voz
Para evitar la detección mediante el aprendizaje automático y el software de seguridad, las campañas de phishing utilizan cada vez más técnicas de evasión.
Según Cyren, el 87% de las campañas de phishing que detectan ahora están utilizando técnicas de evasión para intentar evitar la detección. Las técnicas de evasión que se utilizan se describen a continuación:
Codificación de caracteres HTML: esta técnica codifica el HTML de la estafa de suplantación de identidad (phishing) para que aparezca como un engaño en los motores de exploración automatizados, pero parece legible para un navegador web o cliente de correo electrónico.
Cifrado de contenido: en lugar de codificar el HTML, esta técnica en realidad cifra los datos y luego usa JavaScript para descifrarlos cuando se ve en un navegador web.
Bloqueo de inspección: los kits de phishing bloquearán el acceso a las páginas de destino de varias direcciones IP, agentes de usuario del navegador o remitentes. Este es un intento de bloquear los sistemas automatizados utilizados por Google, los motores antivirus o los proveedores de seguridad para que no lean correctamente la página. Esto se hace comúnmente usando archivos htaccess con firmas precompiladas que redirigen a ciertos visitantes a otro sitio como se muestra a continuación.
URL en los archivos adjuntos: en lugar de alojar las URL de la página de destino de phishing en los correos electrónicos, los incluyen en los archivos adjuntos alojados en otros servicios o adjuntos al correo electrónico.
Inyección de contenido: esta técnica utiliza un sitio legítimo, pero comprometido, que contiene un script que redirige a los usuarios a una página de destino.
Alojamiento legítimo en la nube:
Las estafas de suplantación de identidad (phishing) utilizan cada vez más proveedores de servicios legítimos en la nube, como Azure, para alojar sus páginas de destino. Al hacerlo, las páginas de destino se pueden alojar en las direcciones URL de marca de Microsoft, como windows.net, para que las páginas de estafa parezcan legítimas. Además, estas páginas están protegidas con un certificado de propiedad de Microsoft.
Esto es especialmente útil para páginas de destino que intentan robar credenciales para servicios de Microsoft como Cuentas de Microsoft, OneDrive, Outlook y Office 365.
Estas técnicas parecen estar funcionando, ya que los informes indican que las campañas de phishing aumentaron un 17% en el primer trimestre de 2019, el 25% de los correos electrónicos de phishing eluden la seguridad de Office 365 y que los ciberdelincuentes están obteniendo muchas ganancias.