Según un informe reciente de Group-IB, se ha observado un marcado aumento del 25% en el uso de kits de phishing durante el año 2022.
Estos kits de phishing han experimentado un desarrollo significativo en términos de evasión y sofisticación.
El phishing, una táctica ampliamente utilizada por los ciberdelincuentes para obtener información confidencial, ha evolucionado considerablemente en los últimos años.
Los kits de phishing, que son conjuntos de herramientas diseñadas para facilitar la creación de sitios web falsos y el robo de credenciales, se han vuelto cada vez más complejos y difíciles de detectar.
Según el informe de Group-IB, los kits de phishing ahora incorporan técnicas avanzadas de ocultamiento y enmascaramiento para evitar ser detectados por las soluciones de seguridad tradicionales.
Estas técnicas incluyen el uso de servidores proxy, la ofuscación del código fuente y la implementación de métodos de phishing más sutiles y convincentes.
Este aumento en la evasión y sofisticación de los kits de phishing plantea un desafío significativo para las organizaciones y los individuos que intentan protegerse de estas amenazas.
Las empresas deben adoptar un enfoque proactivo para fortalecer sus defensas contra el phishing, implementando soluciones de seguridad avanzadas y educando a sus empleados sobre las mejores prácticas para identificar y evitar los intentos de phishing.
El informe de Group-IB destaca el crecimiento significativo en el uso de kits de phishing durante 2022, junto con su mayor evasión y sofisticación.
Este hallazgo subraya la importancia de mantenerse actualizado sobre las últimas tendencias y técnicas utilizadas por los ciberdelincuentes, a fin de salvaguardar la seguridad y proteger la información confidencial de las organizaciones y los individuos.
Group-IB, líder mundial en ciberseguridad con sede en Singapur, ha registrado un aumento del 25% en el uso de kits de phishing en 2022.
Las principales tendencias de phishing observadas por el Equipo de Respuesta a Emergencias Informáticas (CERT-GIB) de Group-IB, basadas en el análisis de más de 6,000 kits de phishing extraídos en 2021 y 2022, son el uso cada vez mayor de técnicas de control de acceso y evasión avanzada de detección.
CERT-GIB señala que el aumento de tácticas evasivas, como técnicas antibot y aleatorización, plantea un desafío significativo para los sistemas de detección convencionales y prolonga la vida útil de las campañas de phishing.
CERT-GIB, que actúa como la primera línea de defensa para Group-IB y sus clientes, identificó 3,677 kits de phishing únicos en 2022, un 25% más que en 2021.
Un kit de phishing es un conjunto de herramientas que permite a los ciberdelincuentes crear y operar varias páginas de phishing al mismo tiempo.
Estas herramientas son útiles para los actores de amenazas, ya que les permiten construir y mantener sin esfuerzo la infraestructura necesaria para llevar a cabo campañas de phishing a gran escala, moverse de un host a otro en caso de bloqueo y recopilar datos robados.
El correo electrónico sigue siendo el rey, pero Telegram experimenta un aumento significativo
Aunque el correo electrónico sigue siendo la forma predominante de comunicación en línea, se ha observado un crecimiento notable en el uso de Telegram como plataforma de mensajería.
A medida que más usuarios buscan alternativas a las comunicaciones tradicionales por correo electrónico, Telegram ha ganado popularidad debido a su enfoque en la seguridad, privacidad y funcionalidades avanzadas.
El correo electrónico ha sido durante mucho tiempo la columna vertebral de las comunicaciones digitales, utilizado ampliamente en el ámbito empresarial y personal.
Sin embargo, el aumento en las preocupaciones de seguridad y privacidad ha llevado a algunos usuarios a buscar alternativas más seguras y confiables.
Telegram ha emergido como una de las principales opciones para aquellos que buscan una comunicación más segura y privada.
La plataforma ofrece cifrado de extremo a extremo, lo que significa que los mensajes y archivos compartidos están protegidos de accesos no autorizados.
Además, Telegram permite la creación de canales y grupos, facilitando la comunicación en equipo y la difusión de información de manera eficiente.
Este aumento en la popularidad de Telegram no significa que el correo electrónico esté en declive.
El correo electrónico sigue siendo ampliamente utilizado y es fundamental en muchas actividades comerciales y personales.
Sin embargo, el surgimiento de plataformas de mensajería más seguras y versátiles, como Telegram, muestra una clara tendencia hacia la adopción de herramientas de comunicación que brinden una mayor seguridad y funcionalidad a los usuarios.
En resumen, aunque el correo electrónico sigue siendo la forma de comunicación dominante, Telegram ha experimentado un crecimiento significativo debido a su enfoque en la seguridad y privacidad.
Ambas plataformas desempeñan roles importantes en el panorama de las comunicaciones digitales, y su elección depende de las necesidades y preferencias individuales de los usuarios.
Los sitios web de phishing están diseñados para recolectar datos personales y requieren un método específico para recopilarlos y almacenarlos.
CERT-GIB descubrió que la mayor parte de los datos robados aún se maneja a través del correo electrónico.
En total, casi la mitad de los kits de phishing de 2022 observados por CERT-GIB dependían del correo electrónico para manejar la información robada, y Gmail era el servicio de correo electrónico más preferido utilizado por los creadores de kits de phishing para la recopilación de datos (45%).
El correo electrónico ha sido históricamente una herramienta comúnmente utilizada para la comunicación y el intercambio de información.
Los ciberdelincuentes se aprovechan de esta amplia adopción del correo electrónico para llevar a cabo sus actividades maliciosas.
Utilizan cuentas de correo electrónico legítimas, como las proporcionadas por Gmail, para recibir y almacenar los datos robados de las víctimas de phishing.
El hecho de que el 45% de los kits de phishing identificados por CERT-GIB utilicen Gmail como servicio preferido para la recopilación de datos destaca la necesidad de una mayor vigilancia y seguridad en el uso del correo electrónico.
Si bien Gmail y otros proveedores de servicios de correo electrónico implementan medidas de seguridad para filtrar correos no deseados y detectar actividades sospechosas, los ciberdelincuentes siguen encontrando formas de eludir estas barreras y utilizar el correo electrónico como medio para obtener y almacenar información robada.
Para combatir el phishing y proteger la información personal, es crucial que los usuarios estén conscientes de los riesgos asociados con los correos electrónicos no solicitados o sospechosos.
Se deben seguir buenas prácticas de seguridad, como no hacer clic en enlaces o adjuntos de fuentes no confiables, verificar la legitimidad de los remitentes antes de proporcionar información sensible y utilizar medidas adicionales de autenticación, como la autenticación de dos factores, cuando sea posible.
En conclusión, el informe de CERT-GIB destaca que el correo electrónico sigue siendo una vía común para manejar la información robada en casos de phishing, y Gmail es el servicio de correo electrónico más utilizado por los creadores de kits de phishing para la recopilación de datos.
Los usuarios deben estar alerta y seguir las mejores prácticas de seguridad para proteger su información personal y evitar caer en las trampas del phishing.
Una tendencia continua es la popularidad sostenida de Telegram para la recopilación de datos robados.
Según CERT-GIB, el número de kits de phishing que utilizan Telegram para recopilar datos robados casi se duplicó en 2022 en comparación con el año anterior.
En 2021, el 5,6% de los kits de phishing observados por CERT-GIB utilizaban Telegram para manejar datos robados.
Un año después, la participación de Telegram aumentó al 9,4%.
La flexibilidad y comodidad de esta aplicación de mensajería permiten a los ciberdelincuentes procesar y gestionar la información comprometida casi en tiempo real.
Telegram se ha convertido en una opción atractiva para los delincuentes cibernéticos debido a sus características y funcionalidades.
Permite la creación de canales privados y grupos, lo que facilita la comunicación y la compartición de datos robados entre los miembros de un grupo delictivo.
Además, Telegram ofrece una encriptación sólida de extremo a extremo, lo que proporciona cierto nivel de seguridad para las comunicaciones de los ciberdelincuentes.
La creciente utilización de Telegram para la recopilación de datos robados subraya la necesidad de una mayor vigilancia y protección en el ámbito de la seguridad cibernética.
Los usuarios y las organizaciones deben estar al tanto de los riesgos asociados con esta plataforma y tomar medidas para proteger su información sensible.
Es fundamental que los usuarios estén alerta ante posibles intentos de phishing y eviten proporcionar información confidencial a través de plataformas de mensajería no confiables.
Asimismo, las empresas y los proveedores de servicios de seguridad deben estar al tanto de estas tendencias y actualizar continuamente sus medidas de protección para combatir las actividades de ciberdelincuencia.
En resumen, la popularidad de Telegram entre los ciberdelincuentes para la recopilación de datos robados ha aumentado significativamente.
Esta aplicación de mensajería ofrece flexibilidad y conveniencia para el procesamiento y manejo de información comprometida.
La comunidad de seguridad cibernética debe mantenerse vigilante y tomar medidas para mitigar los riesgos asociados con esta tendencia en la recopilación de datos robados.
Muchos kits de phishing emplearon más de un método para manejar los datos robados
Por ejemplo, en 2022, aproximadamente 1,500 kits de phishing contenían la funcionalidad para transferir los datos robados ya sea a través de Telegram, correo electrónico o escribiendo los datos en un archivo local en el servidor, lo que indica su creciente sofisticación.
Esta tendencia de utilizar múltiples métodos para el manejo de datos robados muestra cómo los ciberdelincuentes están adaptando y mejorando sus técnicas de phishing.
Al emplear diferentes canales de transferencia de datos, como Telegram, correo electrónico o almacenamiento local en el servidor, los delincuentes buscan maximizar las posibilidades de éxito y evadir la detección.
El uso de múltiples métodos también refleja la creciente sofisticación de los kits de phishing.
Estos kits están diseñados para ser más flexibles y adaptables, permitiendo a los ciberdelincuentes ajustar sus tácticas según las circunstancias y las medidas de seguridad implementadas por las víctimas potenciales.
La incorporación de Telegram, correo electrónico y almacenamiento local en los kits de phishing muestra que los atacantes están aprovechando las ventajas y características de cada método.
Telegram puede ofrecer una comunicación más rápida y en tiempo real, mientras que el correo electrónico permite un alcance más amplio y el almacenamiento local brinda un mayor control sobre los datos robados.
Esta creciente sofisticación de los kits de phishing resalta la necesidad de contar con sistemas de seguridad sólidos y una educación continua sobre las mejores prácticas de seguridad cibernética.
Las organizaciones y los usuarios deben ser conscientes de las múltiples técnicas utilizadas por los ciberdelincuentes y tomar medidas proactivas para proteger sus datos y evitar caer en las trampas del phishing.
En conclusión, la presencia de múltiples métodos de manejo de datos robados en los kits de phishing demuestra la creciente sofisticación de los ciberdelincuentes.
Esta tendencia destaca la importancia de la actualización constante de las medidas de seguridad y la conciencia de los usuarios para protegerse contra los ataques de phishing y salvaguardar su información personal y confidencial.
Perfil Bajo
Junto con el aumento en el uso de Telegram, los ataques de phishing se están volviendo más complejos, ya que los ciberdelincuentes se enfocan en mejorar sus capacidades de evasión para evitar la detección y el bloqueo. CERT-GIB dividió las técnicas de evasión identificadas en los kits de phishing durante 2021-2022 en dos categorías: mecanismos triviales de control de acceso y métodos más avanzados de evasión de detección.
En primer lugar, los ciberdelincuentes utilizan mecanismos triviales de control de acceso para dificultar el acceso no autorizado a sus kits de phishing. Estos mecanismos pueden incluir la protección con contraseña o la implementación de preguntas de seguridad para limitar el acceso solo a aquellos que conocen la información correcta.
En segundo lugar, se emplean métodos más avanzados de evasión de detección para eludir las medidas de seguridad y los sistemas de detección convencionales.
Estas técnicas buscan confundir o evitar los mecanismos de detección utilizados por las soluciones de seguridad cibernética.
Algunos ejemplos de técnicas de evasión avanzadas incluyen el uso de algoritmos de ofuscación para ocultar el código malicioso, el empleo de técnicas antibot para evitar ser identificados como programas automatizados y la aleatorización de los patrones de comportamiento para dificultar su detección.
Estas mejoras en las capacidades de evasión de los ciberdelincuentes subrayan la importancia de contar con soluciones de seguridad actualizadas y sofisticadas.
Las organizaciones y los usuarios deben utilizar herramientas de detección y prevención avanzadas que sean capaces de identificar y mitigar estos ataques cada vez más sofisticados.
Asimismo, es crucial mantenerse actualizado sobre las últimas técnicas y tendencias en el ámbito de la ciberseguridad, y capacitar a los usuarios para reconocer y evitar los ataques de phishing.
La concienciación y la educación en materia de seguridad cibernética son fundamentales para prevenir y mitigar los riesgos asociados con estas técnicas de evasión cada vez más complejas utilizadas por los ciberdelincuentes.
Dentro de la primera categoría, el acceso a través de hipertexto (.htaccess) se convirtió en la técnica más popular en 2022, siendo empleada en el 20% de los kits de phishing detectados. Este archivo de configuración permite al operador de un sitio web restringir el acceso a directorios específicos en función de la dirección IP del visitante.
La segunda estrategia de control de acceso más popular en 2022 fue robots.txt, que se observó en el 12% de los kits. Se trata de otro archivo de configuración que impide que los bots y los rastreadores de motores de búsqueda accedan al sitio web.
En general, el uso de mecanismos sencillos de control de acceso aumentó un 92%, llegando a 1.824 en 2022 en comparación con el año anterior, cuando 951 kits de phishing utilizaron algún tipo de restricción selectiva.
El acceso a través de hipertexto (.htaccess) se ha vuelto atractivo para los ciberdelincuentes debido a su facilidad de implementación y efectividad para restringir el acceso a ciertos recursos.
Al utilizar este archivo de configuración, los atacantes pueden limitar el acceso solo a las direcciones IP específicas que deseen, dificultando la detección y el bloqueo de sus actividades maliciosas.
Por otro lado, el archivo robots.txt es una herramienta comúnmente utilizada para comunicarse con los motores de búsqueda y controlar qué partes de un sitio web deben ser indexadas o no.
Los ciberdelincuentes pueden aprovechar este archivo para bloquear el acceso de los bots de los motores de búsqueda y, de esta manera, ocultar sus actividades de phishing de los rastreadores automatizados utilizados por las soluciones de seguridad.
El aumento en el uso de estos mecanismos de control de acceso simples en los kits de phishing refleja la tendencia de los ciberdelincuentes a buscar métodos más simples pero efectivos para ocultar sus actividades y evitar ser detectados.
Al aprovechar estas técnicas, los atacantes pueden dificultar el descubrimiento y el bloqueo de sus sitios de phishing, lo que les brinda una mayor oportunidad para engañar a las víctimas y robar información confidencial.
Es importante destacar que la identificación y el bloqueo de estos mecanismos de control de acceso no son tareas sencillas, y las soluciones de seguridad deben estar actualizadas y contar con la capacidad de reconocer y mitigar estas técnicas utilizadas por los ciberdelincuentes.
En conclusión, los ciberdelincuentes están utilizando técnicas de control de acceso sencillo, como el acceso a través de hipertexto (.htaccess) y el archivo robots.txt, para restringir el acceso y ocultar sus actividades de phishing.
Estas estrategias han ganado popularidad debido a su facilidad de implementación y efectividad.
Las organizaciones y los usuarios deben estar al tanto de estas tácticas y contar con soluciones de seguridad actualizadas para detectar y prevenir los ataques de phishing que utilizan estos mecanismos de control de acceso.
Con el fin de dificultar el trabajo de los especialistas en ciberseguridad y las soluciones de ciberseguridad convencionales, se están incluyendo cada vez más técnicas avanzadas de evasión de detección en los kits de phishing.
Entre los mecanismos básicos se encuentra la inclusión en una lista negra de las direcciones IP y nombres de host de proveedores de ciberseguridad.
Las tácticas más sofisticadas implican el uso de tecnologías antibot, la aleatorización de directorios, entre otras.
Estas tácticas fueron utilizadas por 2.060 kits de phishing detectados por CERT-GIB en 2022, lo que representa un aumento del 26% en comparación con el año anterior.
Es importante destacar que, en 2022, los investigadores de Group-IB observaron un aumento del 40% en el uso de tecnologías antibot diseñadas para evitar que los escáneres automatizados de ciberseguridad identifiquen contenido de phishing.
La inclusión de mecanismos de evasión de detección avanzados en los kits de phishing demuestra la creciente sofisticación de los ciberdelincuentes y su enfoque en evitar la detección por parte de las soluciones de seguridad.
Al incluir técnicas como la inclusión en listas negras de direcciones IP y nombres de host de proveedores de ciberseguridad, los atacantes intentan bloquear el acceso o la identificación de sus actividades por parte de los sistemas de seguridad existentes.
Además, las tácticas más avanzadas, como las tecnologías antibot y la aleatorización de directorios, buscan engañar a los escáneres automatizados utilizados por los proveedores de ciberseguridad para identificar y bloquear el contenido de phishing.
Estas técnicas permiten a los ciberdelincuentes evadir la detección y prolongar la vida útil de sus campañas de phishing.
El aumento en el uso de tecnologías antibot en los kits de phishing destaca la importancia de contar con soluciones de seguridad actualizadas que puedan reconocer y mitigar estas técnicas.
Los escáneres de ciberseguridad deben ser capaces de adaptarse a las nuevas tácticas utilizadas por los ciberdelincuentes y ser capaces de identificar el contenido de phishing, incluso cuando se aplican mecanismos de evasión de detección avanzados.
En resumen, los ciberdelincuentes están utilizando tácticas avanzadas de evasión de detección en los kits de phishing para evitar ser detectados por las soluciones de seguridad convencionales.
Esto incluye mecanismos básicos como la inclusión en listas negras de direcciones IP y nombres de host, así como tácticas más sofisticadas como tecnologías antibot y aleatorización de directorios.
La actualización y mejora continua de las soluciones de ciberseguridad son fundamentales para contrarrestar estas tácticas y proteger a las organizaciones y usuarios contra los ataques de phishing.
“La automatización permite a los phishers crear y gestionar cientos de sitios web todos los días”, afirmó Dmitry Volkov, CEO de Group-IB. “Extraer y monitorear los kits de phishing es una parte esencial para protegerse contra los ataques de phishing. Esto puede ayudar a identificar y bloquear los ataques de phishing antes de que causen un daño masivo. Además, el análisis de los kits de phishing es invaluable desde una perspectiva de recopilación de inteligencia, ya que proporciona información valiosa sobre las tácticas, técnicas y procedimientos de los adversarios. En muchos casos, también puede ayudar a identificar a los desarrolladores de los kits de phishing, lo cual es útil para la persecución legal de los actores de amenazas”.
El monitoreo y análisis de los kits de phishing son fundamentales para combatir eficazmente los ataques de phishing. Al identificar y extraer estos kits de forma temprana, las organizaciones y los profesionales de la seguridad cibernética pueden tomar medidas proactivas para bloquear los ataques antes de que causen daños significativos. Además, el análisis de los kits de phishing proporciona información valiosa sobre las tácticas utilizadas por los ciberdelincuentes, lo que ayuda a mejorar las defensas y la capacidad de detección y respuesta ante futuros ataques.
Asimismo, el seguimiento y análisis de los kits de phishing puede tener un valor adicional en términos de inteligencia, ya que proporciona conocimientos sobre los actores de amenazas y sus métodos de operación. Esta información puede utilizarse para fortalecer la seguridad y también puede ser compartida con las autoridades competentes para apoyar las investigaciones y enjuiciamiento de los delincuentes involucrados.
En conclusión, el monitoreo y análisis de los kits de phishing desempeñan un papel crucial en la protección contra los ataques de phishing. Estas actividades permiten identificar y bloquear los ataques de manera proactiva, brindan información valiosa sobre las tácticas utilizadas por los ciberdelincuentes y pueden apoyar los esfuerzos de inteligencia y aplicación de la ley. La colaboración entre organizaciones, profesionales de la seguridad y autoridades competentes es fundamental para combatir eficazmente el fenómeno del phishing y proteger a los usuarios y organizaciones contra sus consecuencias perjudiciales.
Durante los últimos 10 años, la inteligencia de amenazas de Group-IB ha construido una amplia colección de kits de phishing que se actualiza en tiempo real.
Este conocimiento nos ayuda a detener los ataques de suplantación de marca e investigar las campañas de phishing de manera más efectiva.
Es importante destacar que la infame campaña 0ktapus, que apuntó a más de 130 empresas, se basó en un simple kit de phishing.
Al rastrear este kit de phishing, los investigadores de Group-IB pudieron descubrir toda la operación de phishing y establecer la supuesta identidad del perpetrador.
El hecho de contar con una colección actualizada de kits de phishing nos permite identificar y analizar las tácticas utilizadas por los ciberdelincuentes en tiempo real.
Esto nos ayuda a detectar y mitigar ataques de suplantación de marca y a proteger a las organizaciones contra los riesgos asociados con el phishing.
Además, la información recopilada sobre los kits de phishing nos brinda una visión más profunda de las operaciones de phishing en curso, lo que nos permite investigar y responder de manera más efectiva a estas amenazas.
El caso de la campaña 0ktapus es un ejemplo destacado de cómo el seguimiento de un kit de phishing puede llevar a descubrir toda una operación y revelar la identidad del perpetrador.
Esto demuestra el valor y la importancia de contar con una amplia colección de kits de phishing y la capacidad de realizar un análisis detallado.
Al unir estos conocimientos con otras fuentes de inteligencia y técnicas de investigación, Group-IB puede brindar una respuesta efectiva ante las amenazas de phishing y contribuir a la lucha contra el cibercrimen.
En resumen, la colección actualizada de kits de phishing de Group-IB y el seguimiento de su uso en campañas de phishing nos permite detener los ataques de suplantación de marca, investigar las operaciones de phishing y desenmascarar a los perpetradores.
Esta valiosa inteligencia de amenazas es fundamental para proteger a las organizaciones y combatir el cibercrimen de manera efectiva.
Por Marcelo Lozano – General Publisher IT CONNECT LATAM
Lea más sobre Ciberseguridad en;
Cómo combatir la IA generativa y los ataques biométricos en 2023
API 2023: cuando el flujo de datos es la amenaza
Proofpoint revela que el 63% de los CISO han experimentado pérdida de datos en el año
Criptoactivos: Kaspersky en 2023 los protege
Portales Cautivos en la Nube: una tendencia que crece en 2023