El robo de identidad (phishing) continúa siendo una de las amenazas en línea principales. En 2012 se registraron, en promedio, más de 37,000 ataques de phishing por mes, lo que se traduce en pérdidas estimadas en 1,500 millones de dólares, destaca RSA.
La división de seguridad de EMC analizó kits de robo de identidad (phishing kits) donde se descubrió una táctica cada vez más usada por los criminales. El esquema incluye varias redirecciones de un sitio web a otro; por lo general se trata en principio de un sitio web legítimo que ha sido apropiado por los delincuentes, sin hacerle alguna modificación. Usando este sitio como trampolín, inducen a los internautas a ingresar a dicho primer sitio para posteriormente redireccionarlos a un segundo: la verdadera página de robo de identidad.
El uso de dos sitios tiene un propósito muy claro: evitar que los mensajes de correo electrónico sean bloqueados por los filtros de seguridad, ya que el primer sitio es “limpio” y es el que será analizado por el filtro. Uno no puede acceder al sitio malicioso si no se ha ingresado previamente a la primera URL legítima.
Otro de los ataques detectados son los llamados de “acción retardada”. Estos no son nuevos pero cada vez son utilizados más por los delincuentes. Esta variación usa igualmente un sitio legítimo o limpio, cuya URL se distribuye vía correo electrónico, pero se paraliza; el contenido malicioso solo se cargará uno o dos días después.
Por lo general se trata de ataques de fin de semana, en donde el correo malicioso se envía el domingo, borra los sistemas de correo electrónico y el contenido ilegal estará disponible el lunes. Este mismo esquema se utiliza para las campañas de infección por troyanos y robo de identidad de objetivos específicos.
Los análisis de RSA demuestran que los viernes son los días preferidos por los criminales del phishing para enviar sus correos de robo de identidad de objetivos específicos. ¿Por qué el viernes? Se determinó que hacia el final de la semana, los empleados tienen menor carga de trabajo, por lo que están menos atentos y son más propensos a caer en ataques de phishing. Por lo general, el viernes los empleados dedican más tiempo a borrar de su bandeja de entrada los correos de la semana y navegan más por Internet, lo que incrementa la posibilidad de hacer clic en algún enlace recibido ese día.
Otras formas de phishing
Los criminales del robo de identidad son conocidos por su creatividad al diseñar ataques maliciosos. Uno de estos es el secuestro de URL. Este ataque se basa en registrar un sitio web con un dominio muy similar al legítimo o que engañe a los usuarios.
Las formas más comunes del secuestro de URL son: intercambiar letras (por ejemplo twitter por iwitter); agregar una letra al final o repetir alguna (Montterrey para Monterrey); e intercambiar letras visualmente similares (i por l). Para evitar entrar a estos sitios se debe leer cuidadosamente la URL, sin embargo, la mayoría de los usuarios revisan sus correos en medio de arduas jornadas de trabajo, lo que hace más factible el hacer clic (inclusive de forma accidental) en un enlace malicioso.
CIO México
