Un informe de la empresa de investigación de mercado Gatner habla de unas pérdidas de 3.200 millones de dólares por culpa del phishing en 2007. El informe pone cifras al phishing «tradicional», contabilizando desde agosto de 2006 a agosto de 2007 y centrado en Estados Unidos.
Son 3.6 millones de usuarios los que han perdido los más de 3.000 millones de dólares. En 2006, según el informe, fueron solo 2.3 millones de personas los que se vieron afectados.
La cantidad media estafada por robo serían unos 866 dólares, bastante menos que los 1.244 del año anterior. Sin embargo esto no significa que los atacantes hayan renunciado a mayores ganancias, pues el número de usuarios afectados ha aumentado. Quizás el robo de una cantidad menor permite que la estafa pase inadvertida en cierta forma para los bancos (nunca para el usuario) e incluso podría reducir la pena en el hipotético (y lamentablemente improbable) caso de que el estafador sea cazado.
En 2005, el coste estimado del fraude online(todo incluido) según el FBI era de 67.000 millones de dólares en Estados Unidos. Esto da una idea de lo que representa el phishing tradicional en el cómputo total del fraude en la Red.
Se desprende también del informe que hasta el 64% de los afectados recuperaron el dinero perdido en 2007. Bastante más que en 2006. Pero sin duda lo alarmante es que el ratio de «éxito» de cada ataque ha subido. El 3.3% de los usuarios que recibieron correos de phishing perdieron dinero, mientras que en 2006 fueron «sólo» el 2.3%.
Y Gatner concluye además que durante 2008 y 2009 este tipo de estafas no parará de crecer. Resulta demasiado sencillo y lucrativo para los atacantes.
Si bien el informe se centra en Estados Unidos, en España la situación puede ser parecida. En Hispasec hemos detectado un repunte de ataques phishing contra entidades bancarias españolas en los últimos meses. Incluso, como ya comentamos en otros boletines, varios ataques de phishing con intento de troyanización del sistema.
Si estas cifras se manejan con el phishing tradicional, ¿qué podemos esperar de los sofisticados troyanos que tienen el mismo fin y que forman parte del malware 2.0? Estos son mucho más eficaces, y el ratio de «éxito» en caso de infección es mucho mayor que ese 3.3% de usuarios que introducen sus datos en páginas fraudulentas. La mayoría de esos troyanos roban las contraseñas sin necesidad de que el atacado observe ningún comportamiento anómalo en el sistema o en la página web del banco y además pasan inadvertidos también para muchos antivirus.
Teniendo en cuenta los elevados índices de infección actuales, a las mafias rusas y brasileñas creadoras de este tipo de malware deben parecerle irrisorias las ganancias obtenidas con el phishing tradicional, una técnica mucho más primitiva.
ssantos@hispasec.com
Más información:
Gartner puts phishing tab at $3.2 billion
http://blogs.zdnet.com/security/?p=755
El Phishing le cuesta a Estados Unidos 3.200 millones de dólares
http://www.vnunet.es/Actualidad/Noticias/Seguridad/Virus/20071219001
Deja una respuesta