El phishing constituye una de las amenazas cibernéticas más usada en la actualidad por los atacantes para la extracción ilícita de datos bancarios.
Esto ha hecho necesario conocer la manera en que ejercen su acción las diferentes herramientas usadas para cometer este tipo de ataques, entre ellas las páginas web fake que replican páginas web bancarias.
En ese sentido, los investigadores de la compañía de ciberseguridad Kaspersky se dieron a la tarea de analizar el ciclo de vida de este tipo de páginas. Tras finalizar su labor el equipo descubrió que una de cada tres páginas de phishing desaparecía al transcurso de un día, razón por la cual resulta difícil para una herramienta antiphishing detectar el enlace malicioso bajo el cual fue diseñada y añadirla a su base de datos.
Durante un periodo de tres semanas los miembros del estudio lograron recolectar un total de 5.307 enlaces de páginas de phishing, de las cuales, habían desaparecido un total de 1.784 tras el primer día, algunas incluso tras horas de haber sido añadidas a la lista. El resto de las webs no duraron más de 94 horas activas.
Tomando en cuenta la corta existencia de las páginas phishing, los atacantes deben buscar la manera de difundir sus enlaces lo más rápido posible antes de que expiren. Para ello, recurren a crear una página nueva en lugar de realizar cambios sobre alguna ya existente.
Añadido a esto, los ciberdelincuentes han incorporado en estas páginas una función encargada de alterar aleatoriamente algunos elementos del código a fin de hacerlas pasar inadvertidas el tiempo suficiente antes de ser detectadas por las herramientas antiphishing.
Además, Kaspersky ha incluido en el informe realizado al respecto de este tema dos aspectos a considerar:
- Los atacantes tienen la capacidad de crear sus propias redes Wi-Fi públicas en las cuales pueden luego crear direcciones de páginas web falsas, así como generar redirecciones a este tipo de páginas.
- No siempre la presencia del prefijo HTTPS implica una conexión web segura, ya que los ciberdelincuentes pueden incluso emitir su propio certificado SSL.
Añadido a esto, muchas de las páginas de phishing son alojadas en subdirectorios y subdominios de sitios web legítimos.
De esta manera los atacantes pueden tener la oportunidad de actuar rápido y poner estas páginas fuera de circulación en el momento que su actividad es detectada por la herramienta antiphishing.