El phishing IPFS en aumento hace que la eliminación de campañas sea más complicada


Los ciberdelincuentes utilizan cada vez más el phishing de IPFS para almacenar contenido malicioso, como páginas de phishing, con el efecto de aumentar el tiempo de actividad y la disponibilidad de ese contenido.

Pishing de piratas informáticos y ciberdelincuentes que roban datos personales privados, inicio de sesión de usuario, contraseña, documento, correo electrónico y tarjeta de crédito.  Phishing y fraude, estafa en línea y robo.  Hacker sentado en el escritorio.
Imagen: Adobe Inventory

Para ejecutar con éxito una operación de phishing, los ciberdelincuentes generalmente necesitan alojar páginas de phishing en línea. Las víctimas se conectan a él y le proporcionan sus credenciales o número de tarjeta de crédito, cayendo en el fraude.

Las campañas de phishing generalmente se detectan en cuestión de minutos, porque tienden a dirigirse a muchas personas y algunas de ellas lo informan de inmediato a las empresas de seguridad o a los equipos CSIRT (equipo de respuesta a incidentes de seguridad informática). Esos equipos pueden investigar el caso, pero generalmente la primera prioridad es cerrar el contenido world-wide-web, de modo que cualquier persona que haga clic en el enlace fraudulento un poco más tarde no pueda acceder a él. Puede ser cuestión de minutos o unas pocas horas antes de que se elimine el contenido de phishing.

Esto explica por qué los ciberdelincuentes pasan una gran cantidad de tiempo en sitios world-wide-web comprometidos para alojar su contenido de phishing o registrar algún servicio de alojamiento world-wide-web gratuito y almacenar su contenido. Aumentar la disponibilidad y el tiempo de actividad de sus páginas de phishing definitivamente parece una buena concept para los ciberdelincuentes. Aquí es donde entra IPFS.

¿Qué es IPFS?

IPFS significa sistema de archivos interplanetarios. IPFS es una purple y un protocolo peer-to-peer para alojar datos que se creó en 2015. Está construido sobre un sistema descentralizado, de la misma manera que los torrents. Los usuarios pueden acceder al contenido a través de una dirección, y otros pares pueden encontrar y solicitar el contenido de cualquier nodo que lo tenga utilizando una tabla hash distribuida (DHT).

Los usuarios que no forman parte de esa red IPFS global pueden acceder a su contenido utilizando varios Puertas de enlace IPFS (Figura A).

Figura A

Ejemplo de lista de puertas de enlace públicas para IPFS.
Ejemplo de lista de puertas de enlace públicas para IPFS. Imagen: ipfs.github.io.

Cualquier archivo almacenado en IPFS se puede recuperar a través de un identificador de contenido (CID) único utilizando la siguiente convención:

https:///ipfs/

Cualquier archivo solicitado de IPFS se sirve a través de cualquier nodo participante en la crimson.

¿Cuáles son los beneficios de IPFS para los ciberdelincuentes?

Las páginas de phishing que se encuentran en IPFS son más difíciles de eliminar, en comparación con las páginas de phishing habituales alojadas en la web transparente. Dado que varios nodos de IPFS pueden alojar el contenido, la página de phishing podría permanecer en línea durante un período indeterminado que podría durar meses, o desaparecer naturalmente si ya no hay ningún nodo que la aloje.

Para asegurarse de eliminar este contenido fraudulento, los ciberdefensores necesitan más esfuerzo del habitual. Deben comunicarse con todas las puertas de enlace que conducen al archivo y solicitar la eliminación del contenido de su caché.

Afortunadamente, incluso si el contenido permanece en línea, los enlaces al contenido fraudulento siempre se pueden informar a los servicios antiphishing como Navegación segura de Googleque rápidamente marcará los enlaces como maliciosos y evitará que los usuarios accedan a ellos.

VER: Política de seguridad de dispositivos móviles (Premium de TechRepublic)

Ejemplos de phishing de IPFS

Investigadores del equipo de SpiderLabs en Trustwave expuesto algunos casos de phishing de IPFS recientemente.

La página de phishing de Chameleon es una página de phishing que cambia su apariencia según la dirección de correo electrónico de la víctima. La página de phishing en realidad carga un logotipo y contenido de fondo según la dirección de correo electrónico (Figura B).

Figura B

La misma URL de phishing de IPFS muestra dos contenidos diferentes según la dirección de correo electrónico de la víctima.
La misma URL de phishing de IPFS muestra dos contenidos diferentes según la dirección de correo electrónico de la víctima. Imagen: Trustwave

Otro ejemplo proporcionado por Trustwave muestra un correo electrónico de phishing que pretende provenir de Microsoft, sobre una suscripción de Azure. El correo electrónico contiene un archivo HTML malicioso que conduce a una página de phishing alojada en la purple IPFS (Figura C).

Figura C

Correo electrónico de phishing con archivo adjunto HTML que conduce a una página de phishing de IPFS.
Correo electrónico de phishing con archivo adjunto HTML que conduce a una página de phishing de IPFS. Imagen: Trustwave

Una vez que el usuario ha abierto el archivo adjunto, se accede a la página de phishing, alojada en la pink IPFS. Solicita al usuario que haga clic en un enlace de contacto, luego se muestra la página de phishing que solicita las credenciales de Microsoft del usuario (Figura D).

Figura D

Páginas de phishing de Microsoft alojadas en la red IPFS.

Páginas de phishing de Microsoft alojadas en la pink IPFS. Imagen: Trustwave.

Una amenaza que seguirá creciendo

IPFS no es una tecnología completamente nueva, pero su adopción por parte de los ciberdelincuentes es un fenómeno nuevo que era predecible. Cada vez que una nueva tecnología evoluciona, siempre hay personas con mentalidad criminal para pervertirla para sus necesidades.

Trustwave indica que han observado más de 3000 correos electrónicos que contienen URL de phishing que han utilizado IPFS durante los últimos 90 días y menciona que «es evidente que IPFS se está convirtiendo cada vez más en una plataforma well known para sitios world wide web de phishing».

VER: Violación de contraseña: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (República Tecnológica)

¿Qué se puede hacer contra el phishing de IPFS?

Como se dijo, IPFS es una crimson de igual a igual que hace que el contenido sea más difícil de eliminar. Cuando solo requiere informar una página de phishing a una empresa de alojamiento o un proveedor de DNS para cerrarla cuando está almacenada en la website habitual, requiere abordar todas las puertas de enlace IPFS que conducen al contenido fraudulento para cerrarlo.

La posibilidad más rápida de evitar que los usuarios de Web accedan a tales páginas de phishing es informarlo a los servicios anti-phishing que bloquearán el acceso a todos los usuarios que ejecutan esos servicios.

Divulgación: Trabajo para Development Micro, pero las opiniones expresadas en este artículo son mías.



Enlace a la noticia first