FAQ: tácticas usadas en el #Phishing (y II)

Continuamos con la serie de preguntas frecuentes sobre Phishing iniciada en FAQ: tácticas usadas en el #Phishing (II).

¿Cuántos nombres de dominios fueron maliciosamente registrado por atacantes?

De los 89.748 nombres de dominio únicos, se identificaron 5.835 nombres de dominio registrados maliciosamente por los phishers. Los otros dominios fueron sitios web vulnerables comprometidos. Los phishers siguen utilizando servicios de acortamiento de URL para ocultar las direcciones del caso de phishing. Más del 65% de las URLs abreviadas fueron encontrados en un solo proveedor, TinyURL.com.

¿Cuánto tiempo suelen durar "vivos" los sitios de phishing?

El "tiempo de actividad" normal a partir de la segunda mitad de 2012 fue de 26 horas y 13 minutos. El tiempo de actividad media fue de 10 horas y 19 minutos, lo cual es el doble del tiempo de actividad histórico de 5 horas y 45 minutos conseguidos durante el primer semestre de 2012. Cuanto más se mantiene activo un caso, más dinero pierden las víctimas y las instituciones destino. El primer día de un ataque de phishing se cree que es el más lucrativo para el phisher. Los ataques tieden a ser mitigados de manera más eficiente sólo cuando hay muchas quejas de los proveedores y de los clientes.

¿Cuál es la tendencia en las técnicas utilizadas en los ataques?

Al atacar servidores con sitios compartidos, los estafadores puede infectar docenas, cientos o incluso miles de sitios web en un sólo ataque. En el segundo semestre de 2011, APWG identificó 58.100 ataques de phishing que utilizaron ataques en masa y representaron el 47% de todos los ataques de phishing registrados en ese momento. En febrero de 2012, los ataques de este tipo comenzaron de nuevo, con un pico en agosto de 2012 con más de 14.000 ataques de phishing realizados sólo a 61 servidores. Esta táctica de ataque contra granjas de servidores virtuales ofrece el atacante muchas ventajas y ancho de banda.

¿Hay más evidencia sobre los ataques a los entornos de alojamiento compartido?

A finales de 2012 se incrementó el uso de herramientas para controlar servidores de alojamiento compartido y, en particular WordPress, cPanel e instalaciones de Joomla. Por ejemplo, a partir de finales de 2012, los delincuentes tomaron granjas de servidores para perpetrar prolongados ataques DDoS contra bancos estadounidenses. En abril de 2013, hubo ataques de fuerza bruta contra instalaciones de WordPress con el fin de construir una gran botnet. Todo ello pone de manifiesto la vulnerabilidad de los servidores, el software que utilizan y la gestión de contraseñas débiles. El software de código abierto sin parches es un destino popular entre los atacantes.

Cristian de la Redacción de Segu-Info

Suscríbete a nuestro Boletín