Conclusiones clave
- Los estafadores confían cada vez más en servicios genuinos, como creadores de sitios web, para albergar campañas de phishing, según han descubierto los investigadores.
- Creen que el uso de estos servicios legítimos tiende a hacer que estas estafas parezcan creíbles.
-
La gente aún puede detectar estas estafas buscando algunos signos reveladores, sugieren los expertos en phishing.
El hecho de que un servicio legítimo solicite tus credenciales de inicio de sesión no significa que no te estén engañando.
Según los investigadores de Unit 42, el brazo de seguridad cibernética de Palo Alto Networks, los ciberdelincuentes abusan cada vez más de las plataformas de software como servicio (SaaS), incluidos varios creadores de sitios web y formularios, para alojar el phishing paginas El uso de estos servicios honestos ayuda a los estafadores a dar un aire de legitimidad a sus estafas.
"Es muy inteligente porque saben que no podemos [bloquear] a empresas como Google y otros gigantes [tecnológicos]", dijo a Lifewire Adrien Gendre, director de tecnología y productos del proveedor de seguridad de correo electrónico Vade Secure. Email. "Pero a pesar de que es más difícil detectar el phishing cuando una página está alojada en un sitio web de alta reputación, no es imposible".
Falsificaciones genuinas
El uso de servicios legítimos para engañar a los usuarios para que entreguen sus credenciales de inicio de sesión no es nuevo. Sin embargo, los investigadores han notado un aumento masivo de más del 1100 % en el uso de esta estrategia entre junio de 2021 y junio de 2022. Además de los creadores de formularios y sitios web, los delincuentes cibernéticos explotan sitios para compartir archivos, plataformas de colaboración y más.
Según los investigadores, la creciente popularidad de los servicios SaaS genuinos entre los ciberdelincuentes se debe principalmente a que las páginas alojadas en estos servicios no suelen estar marcadas por varios filtros de fraude y estafa, ni en el navegador web ni en los clientes de correo electrónico.
Además, estas plataformas SaaS no solo son más fáciles de usar que crear un sitio web desde cero, sino que también les permiten cambiar rápidamente a una página de phishing diferente en caso de que los organismos encargados de hacer cumplir la ley eliminen una.
Este abuso de servicios genuinos para el phishing no sorprende a Jake, un cazador de amenazas sénior en una empresa de Threat Intelligence, que se especializa en el phishing de credenciales y que no quiere ser identificado mientras investiga campañas activas de phishing.
Aunque está de acuerdo en que, por lo general, se necesita un poco más de esfuerzo para detectar dicho abuso, no es imposible, y agrega que estos servicios legítimos a menudo son más entusiastas para actuar sobre los informes de abuso, lo que hace que sea mucho más fácil eliminar sitios maliciosos..
En una discusión con Lifewire a través de Twitter, Jake dijo que la mayoría de las campañas de phishing, incluidas las alojadas en servicios legítimos, tienen algunas señales evidentes para cualquiera que preste atención.
"Estos servicios legítimos a menudo tienen pancartas o pies de página que los atacantes no pueden eliminar, por lo que los sitios como Wix tienen una pancarta en la parte superior, los formularios de Google tienen un pie de página que indica que nunca se deben ingresar contraseñas en los formularios, etc. " dijo Jake.
Ojos pelados
Sobre la base de eso, Gendre dice que si bien se puede confiar en el dominio, es probable que la página de phishing tenga algunas anomalías en la URL y el contenido de la página misma.
Jake está de acuerdo y agrega que, para empezar, la página de phishing para obtener credenciales seguirá estando alojada en el sitio web abusado en lugar del servicio cuyas credenciales se buscan. Por ejemplo, si encuentra una página de restablecimiento de contraseña para Gmail alojada en el sitio web de un creador de sitios web como Wix, o un creador de formularios como Google Forms, puede estar seguro de que ha llegado a una página de phishing.
Además, con un poco de atención, estos ataques pueden ser cortados en su oferta, sugieren los investigadores. Al igual que otros ataques de phishing, este también comienza con un correo electrónico fraudulento.
"Los usuarios deben tener cuidado con los correos electrónicos sospechosos que utilizan un lenguaje sensible al tiempo para solicitar al usuario que tome algún tipo de acción urgente", dijeron los investigadores de Unit42.
Gendre cree que el arma más importante de las personas contra este tipo de ataques es la paciencia, y explica que "las personas tienden a abrir y responder correos electrónicos muy rápidamente. Los usuarios deben tomarse el tiempo de leer e inspeccionar el correo electrónico para determinar si hay algo sospechoso".
Jake también sugiere que las personas no hagan clic en los enlaces de los correos electrónicos y, en su lugar, visiten el sitio web del servicio que aparentemente envió el correo electrónico, ya sea ingresando su URL directamente o a través de un motor de búsqueda.
"Si puede usar un administrador de contraseñas, estos productos pueden hacer coincidir la URL de destino con la página actual que está usando, y si no coinciden, no ingresará su contraseña, lo que debería hacer sonar las alarmas", dijo Jake.