Cercetătorii companiei de securitate cibernetică Kaspersky au analizat ciclul de viaţă al paginilor de phishing şi au descoperit că o treime din paginile de phishing încetează să existe după o singură zi, ceea ce face ca primele ore din viaţa unei pagini să fie cele mai periculoase pentru utilizatori.
”Cercetătorii Kaspersky au analizat ciclul de viaţă al paginilor de phishing şi au descoperit că o treime din paginile de phishing încetează să existe după o singură zi, ceea ce face ca primele ore din viaţa unei pagini să fie cele mai periculoase pentru utilizatori. Acesta este momentul în care o gamă largă de linkuri de phishing sunt răspândite înainte ca site-ul să fie detectat şi introdus în baze de date de către motoarele anti-phishing”, arată compania.
În acest studiu, cercetătorii au analizat 5.307 exemple de pagini de phishing în perioada 19 iulie - 2 august 2021. O parte semnificativă a link-urilor (1.784) au încetat să mai fie active după prima zi de monitorizare, iar numeroase pagini încetează să mai existe după câteva ore. Ca urmare, în primele 13 ore de la monitorizare, un sfert din toate paginile erau inactive, iar jumătate dintre pagini nu existau mai mult de 94 de ore.
Durata de viaţă a unei pagini de phishing depinde de momentul în care aceasta devine vizibilă pentru administratorii de drept ai site-ului şi este eliminată de aceştia. Chiar dacă phisher-ii şi-au instalat propriul server pe domeniul achiziţionat şi sunt suspectaţi de activitate frauduloasă, registratorii îi pot priva pe atacatori de dreptul de a avea găzduite datele pe acesta.
Cu fiecare oră de viaţă a unui nou site, acesta apare în mai multe baze de date anti-phishing, ceea ce înseamnă că tot mai puţine victime potenţiale îl vor vizita. Deoarece ciclul de viaţă al unor astfel de pagini este atât de scurt, phisher-ii caută să distribuie link-uri către paginile de phishing imediat ce acestea sunt create, pentru a asigura cea mai largă acoperire posibilă pentru potenţialele victime în primele ore, cât timp site-urile lor sunt încă active.
”Adesea, atacatorii aleg să creeze o pagină nouă în loc să modifice una existentă. În plus, foarte rar phisher-ii pot schimba pagina pentru a evita blocarea. De exemplu, dacă atacatorii folosesc un brand ca momeală, ar putea să-l schimbe cu un altul. Cu toate acestea, majoritatea paginilor sunt pur şi simplu blocate în momentul în care phisher-ii decid să le schimbe forma de activitate. O altă metodă este crearea unor elemente de cod generate aleatoriu care nu sunt vizibile pentru utilizator, dar pot împiedica motoarele anti-phishing să-i blocheze pentru o perioadă mai lungă de timp. Cu toate acestea, motorul Kaspersky anti-phishing trece cu uşurinţă peste aceste trucuri”, arată compania.
Dintre paginile al căror conţinut este modificat pentru a nu fi blocat, majoritatea imită giveaway-ul PUBG, unul dintre cele mai cunoscute evenimente din acest popular joc online. Atacatorii modifică conţinutul paginii în timp util pentru a se potrivi cu noul sezon, cu un eveniment temporar din joc sau pentru ca pagina de phishing să semene cât mai mult cu originalul.
„O astfel de cercetare nu este utilă doar pentru actualizarea bazelor de date, dar poate fi folosită şi pentru a îmbunătăţi reacţiile la incidente. De exemplu, dacă o organizaţie suferă un atac de spam cu link-uri frauduloase, este important să-l respingă în primele ore, acesta fiind intervalul de timp cel mai productiv pentru activitatea atacatorului. La rândul lor, este important ca utilizatorii să reţină că atunci când primesc un link şi au îndoieli cu privire la legitimitatea site-ului, e bine să aştepte câteva ore. În acest timp, nu numai că va creşte probabilitatea ca link-ul să intre în bazele de date anti-phishing, ci şi pagina de phishing în sine îşi poate opri activitatea. Utilizatorii pot fi siguri că sunt bine protejaţi, deoarece nu numai că descoperim tehnicile de phishing, ci efectuăm şi cercetări pentru a îmbunătăţi cât de bine modul în care respingem atacurile”, spune Egor Bubnov, cercetător în securitate la Kaspersky.
Pentru a evita tentativele de phishing, Kaspersky le recomandă utilizatorilor să evite conectarea la servicii bancare online şi servicii similare prin reţele publice Wi-Fi.
”Hotspot-urile sunt convenabile, dar este mai bine să utilizaţi o reţea sigură. Reţelele deschise pot fi create de infractorii care, printre altele, falsifică adresele site-urilor web prin intermediul conexiunii şi, prin urmare, vă redirecţionează către o pagină falsă”, spun ei.
Uneori, e-mailurile şi site-urile web arată exact ca cele reale. Depinde cât de bine şi-au făcut infractorii temele. Dar hyperlink-urile, cel mai probabil, vor fi incorecte - cu greşeli de ortografie sau vă pot redirecţiona către un alt loc, avertizează compania..
”Este mai sigur să introduceţi un nume de utilizator şi o parolă numai printr-o conexiune securizată. Nici măcar prefixul HTTPS nu este întotdeauna indicatorul că acea conexiune la site este sigură, deoarece fraudatorii pot emite un certificat SSL. Instalaţi o soluţie de securitatede încredere şi urmaţi recomandările acesteia. Soluţiile securizate vor rezolva automat majoritatea problemelor şi vă vor alerta dacă este necesar”, adaugă ei.
Kaspersky este o companie globală de securitate cibernetică şi confidenţialitate digitală fondată în 1997. Portofoliul companiei include protecţie endpoint şi o serie de soluţii şi servicii de securitate specializate pentru a lupta împotriva ameninţărilor digitale sofisticate şi în permanentă evoluţie. Peste 400 de milioane de utilizatori sunt protejaţi de tehnologiile Kaspersky şi 240.000 de clienţi corporativi.
548