¡Vd. usa un navegador obsoleto!

Es posible que la página no se visualice correctamente.

Herederos de O. Bender

Наследники О. Бендера

Otras ediciones de este tema (30)
  • añadir a favoritos
    Añadir a marcadores

Un kit mágico

Consultas: 1531 Comentarios: 7 Ranking: 13

viernes, 22 de mayo de 2020

Como ya hemos mencionado varias veces, la crisis vinculada al coronavirus provocó un crecimiento brusco de phishing. El número de ofertas de estafa creció más de un 100%.

Durante el mes de marzo del año 2020 la base de los sitios web no recomendados y maliciosos fue completada por 186 881 direcciones de Internet.

Febrero 2020 Marzo 2020 Dinámica
+ 90 385 + 186 881 + 106.76%

Fuente

Los sitios web se boquean, pero los malintencionados siempre crean otros nuevos.

El periodo de existencia medio de los sitios web de phishing es de cinco días, pero es bastante para estafas.

Fuente

¿Quién fabrica todos estos sitios web? En nuestra opinión, en el mercado no hay ningún crecimiento de demanda de desarrollo de recursos similares. Lo que pasa es que las estafas, al igual que la creación de malware, están automatizadas.

Vamos a citar una de nuestras ediciones anteriores:

Un kit phishing es un conjunto de varios sitios web phishing que imitan el aspecto y el comportamiento de los recursos en Internet existentes.

Fuente

¿Para qué se necesitan los conjuntos similares? Otra cita similar:

La infiltración de redes phishing realizada hace poco reveló un hecho interesante: la mayoría de los phishers son delincuentes sin experiencia que

  1. compran un así llamado kit phishing 1. por dinero en foros phishing (un conjunto de herramientas para phishing) en archivo zip,
  2. cambian una sola línea – ponen su propia dirección de correo electrónico y
  3. lo cargan al sitio web (que un proveedor puede vender de forma legal o se puede hacer lo mismo que en caso de un kit, comprar acceso a uno de terceros).

Fuente

Pero lo sorprendente es que las noticias vinculen los phishing kits solo a la darknet, grande y oculta de la policía.

El investigador David Montenegro detectó en un foro de darknet una publicidad de un nuevo paquete de exploits Disdain. El precio de licencia de uso de EK es de 80$ al día, 500$ a la semana y $1400 al mes. Los investigadores destacan que el precio del nuevo EK es un poco más bajo que un paquete de exploit de competencias ofrecido por 100$, 600$ y 2,000$ respectivamente.

Según la publicidad de Disdain, EK incluye la funcionalidad siguiente:

  • Rotador de dominios
  • Intercambio de claves RSA para exploits
  • No hay posibilidad de supervisar el servidor de control
  • Geolocalización
  • Supervisión por navegadores e IP
  • Escáner de dominios

Lo más valiosos en EK – es un conjunto de exploits usados para hackear las víctimas.

Fuente

Pero, como todos saben, Internet ordinario no ofrece menos posibilidades a los malintencionados que la darknet.

#drweb

Así es un esquema simplificado de trabajo de delincuentes:

#drweb

Fuente

#drweb

Primero, un malintencionado compra un servidor comprometido (o usa hosting) y carga un conjunto de phishing en el servidor.

Luego el malintencionado usa un servicio spam para enviar los mensajes phishing a las víctimas potenciales.

Las víctimas caen en una trampa phishing, consultan las páginas phishing e introducen sus datos de la cuenta.

Un conjunto de phishing procesa los datos de la cuenta y los envía a la cuenta externa de correo electrónico.

Finalmente, el malintencionado tiene acceso a esta cuenta de correo electrónico y recibe los nuevos datos de cuenta.

Fuente

Es decir, se crea una copia de algún sitio web, se registra un dominio, y el recurso de estafa se publica en Internet.

Cabe destacar que los sitios web phishing tienen protección contra la detección:

Hemos detectados muchos conjuntos de phishing desarrollados para evitar la detección con archivos .htaccess y scripts PHP que bloquean las conexiones de las empresas que se dedican a la investigación de las amenazas, a base de atributos como los rangos de direcciones IP del origen, un referer HTTP o un encabezado del agente del titular.

Fuente

Un 13% de los conjuntos de phishing contienen métodos para esquivar las listas negras que redirigen a cada nueva víctima al nuevo sitio creado de forma aleatoria.

Fuente

Las mismas personas desarrollan varios conjuntos de phishing, son los que ayudan a los ladrones.

Hemos supervisado a algunos malintencionados y hemos detectado a uno cuya dirección electrónica fue detectada en más de 115 conjuntos de phishing únicos.

Fuente

La mitad de los paquetes pertenecen a grandes familias de conjuntos. Al mismo tiempo, un tercio pertenece a tres grandes familias de conjuntos. Significa que los conjuntos phishing llegan de un número de fuentes restringido.

Fuente

Por otras partes, los malintencionados tienen pereza y usan los mismos clones de sitios web sin cambios.

Hemos detectado varios conjuntos en 30 hosts distintos.

Fuente

Y lo de siempre: al vender un conjunto, hay que robar lo robado al comprador:

Los malintencionados que venden o difunden los conjuntos phishing a otros delincuentes ocultan la posibilidad de tener acceso a los hosts hackeados. Por supuesto, los ladrones no son honestos.

Fuente

Los conjuntos phishing gratuitos frecuentemente contienen mecanismos ocultos de exfiltración que envían la información introducida a terceros que probablemente son autores de conjuntos.

Fuente

A propósito, es interesante ¿Cómo los investigadores reciben los conjuntos phishing?

Una vez implementado un conjunto, los malintencionados frecuentemente olvidan eliminarlo, y, si el servidor tiene vulnerabilidades para esquivar el catálogo, se puede encontrar y cargar el conjunto.

Fuente

Los conjuntos phishing pueden ser de dos tipos:

La mayoría de los conjuntos phishing contienen todos los recursos necesarios para copiar el sitio web objetivo, incluidas las imágenes, las páginas HTML y los archivos CSS. Esto reduce el número de solicitudes del conjunto al sitio web objetivo y, por lo tanto, la probabilidad de detección, si el sitio web inicial analiza las solicitudes entrantes. Pero hemos observado varios conjuntos con páginas phishing que contienen enlaces a los sitios web objetivo originales.

Fuente

El primer tipo es una copia exacta de un sitio web determinado en el momento dado. La desventaja de este enfoque es que el conjunto debe permanecer actual siempre, para ser igual a la versión actual del recurso copiado. El segundo tipo es una página extra del sitio web copiado. Aquí la desventaja es que, al seguir los enlaces del sitio web desde la misma, la víctima puede no volver.

#phishing #delincuencia #Internet #tecnologías

El mundo de antivirus recomienda

«El periodo de existencia medio de los sitios web phishing es de cinco días». La protección debe ser actual, no olvide actualizar Su recurso para que la información sobre los sitios web de estafa no sea obsoleta.

[Twitter]

Nos importa su opinión

Para redactar un comentario, debe iniciar sesión para entrar en su cuenta del sitio web Doctor Web. - Si aún no tiene la cuenta, puede crearla.

Comentarios de usuarios

Comentarios a otras ediciones | Mis comentarios