El phishing ya no es un problema que afecte únicamente al correo electrónico. La industrialización del phishing se está viendo impulsada por la fácil disponibilidad y el bajo coste de los kits de herramientas de phishing, y cómo los atacantes están consiguiendo eludir las defensas anti phishing actuales.
Otro aspecto delicado de los ataques de phishing que hay que tener en cuenta es la corta duración de sus campañas. Según nuestros informes cuanto más sofisticado es un ataque de phishing y más concretos resultan sus objetivos, menor es su duración.
El enfoque habitual para identificar una página de phishing y bloquear su acceso se basa en crear una lista negra de los dominios de phishing o direcciones URL que se hayan detectado para, a continuación, llevarlos a la solución de seguridad, de forma que se bloquee el acceso a dichas páginas.
Por el momento, para llevar a buen puerto este proceso, los proveedores de seguridad, tras observar una actividad de tráfico inusual en un determinado dominio, analizan dicho dominio para comprobar si se trata de un dominio de phishing. En caso afirmativo, lo añaden a una lista negra y se bloquea mediante la implementación de una actualización de seguridad, pero todos estos pasos pueden llevar muchas horas.
Si analizamos el ciclo de vida de un ataque de phishing, observaremos que en un momento dado se crea un dominio o una URL maliciosa, pero que solo se recibe tráfico tras el lanzamiento de una campaña de phishing. Una vez que se detecta un comportamiento anómalo, el proveedor de seguridad comenzará a aplicar las medidas oportunas para bloquear ese destino. Lo más importante, conviene señalar en este punto, es que es posible que la lista negra solo se actualice una vez que la campaña de ataque finalice.
Es decir, existen factores de riesgo en las primeras horas de la campaña, cuando el dominio o la URL aún no se han identificado como maliciosos y no están en la lista negra. Por lo tanto, estamos ante una brecha de seguridad.
Al realizar un análisis exhaustivo de las campañas de phishing y los kits de herramientas de phishing hemos observado que, si bien las campañas no duran mucho, varios de sus elementos se repetían en el código de las páginas de phishing.
Como resultado de este análisis, se desarrolló un nuevo método para identificar estas páginas en tiempo real en función de su contenido. Hemos llevado este enfoque al motor de detección de phishing de 0-day. Se trata de una solución que permite analizar las páginas web solicitadas y compararlas con “huellas” o plantillas de páginas de phishing
ya detectadas.
Esta protección en tiempo real se activa desde el momento preciso en el que se solicita la página o dominio, incluso si la página de phishing no se ha visto nunca antes.
¿En qué consiste el proceso?
Hay que tener en cuenta que recibimos constantemente numerosas listas de URL y dominios de phishing recién identificados. En primer lugar, se recupera el contenido de las páginas web de estas URL o dominios nuevos y, a continuación, se agrupan y analizan todas las páginas similares para extraer y recopilar unas características comunes en su código que den forma a sus “huellas” o plantillas. Estos datos serán los que utilice el motor de detección.
Además, recientemente se ha incorporado una fuente de datos adicional. Seguidamente, también se examina el tráfico de nuestra plataforma en busca de solicitudes inusuales
a sitios web que usen nuestra red de distribución de contenido (CDN) para ofrecer
sus contenidos. Por ejemplo, se enviaría una notificación si, durante el análisis, se detecta
una solicitud en tiempo real de un logotipo del sitio web de una empresa o marca.
Este comportamiento puede resultar indicativo de que hay una víctima intentando acceder
a una página de phishing; ya que la página falsa intenta recuperar el logotipo del sitio web legítimo, todo ello a través de nuestra CDN.
Al utilizar las cabeceras “Referer” de origen para recuperar el contenido de las páginas sospechosas de phishing y añadirlos a conjuntos de datos para analizarlas se pueden detectar nuevas páginas de phishing. Se trata de una fuente de datos única y de gran relevancia a la que nadie más puede tener acceso.
Por poner un ejemplo, imaginemos que voy a casa esta noche y registro un dominio nuevo. A continuación, creo una página de phishing que imita una página de inicio de sesión de Office 365, usando para ello los kits de herramientas disponibles. A continuación, lanzo mi campaña de correos electrónicos.
Con el enfoque de lista negra, en las primeras horas de mi campaña, las víctimas harían clic en el enlace de mi correo electrónico e introducirían sus nombres de usuario y contraseñas. Caerían en la trampa porque la lista negra no estaría actualizada en ese momento. Y yo conseguiría mi objetivo de ataque.
Sin embargo, si se cuenta con una herramienta de detección 0-day todos estarían a salvo. Incluso la primera víctima que intentara acceder a la página de inicio de sesión falsa, ya que se identificaría la huella del kit de herramientas de phishing y se bloquearía el acceso en tiempo real. A continuación, dicho dominio o URL se agregaría automáticamente a los datos de inteligencia y el ataque sería fallido.
Esta protección en tiempo real ante ataques de phishing 0-day ayuda a reducir la brecha de seguridad que mencioné anteriormente. Recuerden, todo atacante necesita un conjunto de credenciales. Con esta técnica se puede cerrar la brecha antes de que sea demasiado tarde.