Microsoft detalla las técnicas de phishing más inteligentes que vio en 2019


microsoft-phishing-page.jpg

Imagen: Microsoft

A principios de este mes, Microsoft lanzó un informe sobre las tendencias de malware y ciberseguridad de este año. Una de las pocas tendencias destacadas en el informe fue que el phishing fue uno de los pocos vectores de ataque que experimentó un aumento en la actividad en los últimos dos años.

Microsoft dijo que los intentos de phishing crecieron de menos del .2% en enero de 2018 a alrededor del .6% en octubre de 2019, donde el .6% representaba el porcentaje de correos electrónicos de phishing detectados del volumen complete de correos electrónicos analizados por la compañía.

Si bien aumentaron los ataques de phishing, disminuyó la cantidad de ransomware, crypto-mining y otras infecciones de malware, dijo la compañía en ese momento.

en un entrada en el web site publicado hoy, el gigante tecnológico con sede en Redmond revisó tres de los ataques de phishing más inteligentes que vio este año.

Secuestro de resultados de búsqueda

La primera es una operación de malware de varias capas a través de la cual una banda prison envenenó los resultados de búsqueda de Google. El esquema fue el siguiente:

– Los delincuentes canalizaron el tráfico website secuestrado de sitios legítimos a sitios world-wide-web que controlaban
– Los dominios se convirtieron en el principal resultado de búsqueda de Google para términos muy específicos.
– Los phishers enviaron correos electrónicos a las víctimas vinculando el resultado de búsqueda de Google para ese término específico
– Si la víctima hizo clic en el enlace de Google, y luego en el resultado remarkable, aterrizaría en un sitio world-wide-web controlado por el atacante
– Este sitio net redirigiría al usuario a una página de phishing

fig1-phishing-poisoned-search-results.png "src =" https://zdnet1.cbsistatic.com/hub/i/2019/12/11/729a30d7-e814-4533-a536-742d569100ed/fig1-phishing-poisoned -search-results.png

Imagen: Microsoft

Uno podría pensar que alterar los resultados de búsqueda de Google requiere un enorme esfuerzo, pero en realidad fue bastante fácil, ya que los atacantes no apuntaron a palabras clave de alto tráfico, sino que se centraron en galimatías como «hOJoXatrCPy».

Además, Microsoft dijo que «la campaña se hizo aún más sigilosa por el uso de resultados de búsqueda específicos de la ubicación».

«Cuando los usuarios en Europa accedieron, la URL de phishing condujo al sitio net del redirector c77684gq (.) Beget (.) Tech, y eventualmente a la página de phishing. Fuera de Europa, la misma URL no arrojó resultados de búsqueda», dijo la compañía.

Abusar de las páginas de error 404

Otro truco inteligente utilizado por los phishers este año fue visto por primera vez en una campaña de phishing que Microsoft detectó en agosto y documentado en este Hilo de Twitter.

Esta campaña es astutamente inteligente.

Si bien la mayoría de los correos electrónicos de phishing incluyen un enlace a la URL de phishing en la que quieren atraer a los usuarios, para esta campaña, los atacantes incluyeron enlaces que apuntaban a páginas inexistentes.

Cuando los sistemas de seguridad de Microsoft escanearan el enlace, recibirían un mistake 404 (porque el enlace no existía), y Microsoft consideraría que el enlace period seguro.

Sin embargo, si un usuario actual accediera a la URL, el sitio de phishing detectaría al usuario y lo redirigiría a una página de phishing actual en lugar de la página de error 404 estándar del servidor.

fig4-phishing-404-not-found-error-page.png "src =" https://zdnet3.cbsistatic.com/hub/i/2019/12/11/b35fd8df-4a1e-453e-9fd0-f0c6a4249fee/fig4 -phishing-404-not-found-error-page.png

Imagen: Microsoft

Microsoft dijo que cuando este truco se combinaba con técnicas como los algoritmos de generación de subdominios y el cambio del dominio principal a intervalos regulares, los atacantes podían generar «URL de phishing prácticamente ilimitadas».

Phishing basado en MitM

Un tercer truco de phishing que Microsoft quería destacar como un ataque de phishing inteligente este año fue el uso de un servidor male-in-the-middle (MitM). Microsoft explica:

«Una campaña de phishing en unique en 2019 llevó la suplantación al siguiente nivel. En lugar de que los atacantes copiaran elementos del sitio world-wide-web legítimo falsificado, un componente de intermediario capturó información específica de la compañía como logotipos, pancartas, texto e imágenes de fondo de El sitio de representación de Microsoft. (…) El resultado fue exactamente la misma experiencia que la página de inicio de sesión legítima, lo que podría reducir significativamente las sospechas «.

Sin embargo, esta técnica basada en MitM no es perfecta, ya que la URL del sitio de phishing todavía es obvious en la barra de direcciones, al igual que en cualquier otro sitio de phishing.

Esto significa que incluso si los usuarios pudieran ser engañados por la página de inicio de sesión que se ve perfectamente, pueden evitar desastres inspeccionando de cerca la URL de la página.

fig7-phishing-microsoft-rendering-site.png "src =" https://zdnet1.cbsistatic.com/hub/i/2019/12/11/f4c67777-31a1-40a2-91db-8c30796bc0f6/fig7-phishing-microsoft -rendering-site.png

Imagen: Microsoft





Enlace a la noticia original