Los ataques de tipo phishing llevan ya más de 10 años, pero en realidad no fue hasta 2003 que se popularizaron. Contra entidades españolas, quizás un poco más tarde. 10 años después, el phishing sigue funcionando prácticamente igual que cuando comenzó, e incluso algunas medidas para darle credibilidad intentadas durante esta última década, han sido descartadas por los atacantes en favor de lo sencillo… porque no merece la pena. Sigue siendo igual de efectivo.
Más evolución
Los casos de phishing más «evolucionados«, realizan MiTM (hombre en el medio). Consiste en que la página falsa recoge el usuario y contraseña del usuario y los prueba contra la web real del banco. Si no son válidos muestra un mensaje de error. Esto da realismo al phishing, y aun hoy se sigue usando, aunque solo en los casos más sofisticados.
Hacia 2007, a medida que las entidades bancarias implantaban las tarjetas de coordenadas, los phishing simplemente comenzaron a pedir todos los datos de la tarjeta. El usuario, convencido de que cuantos más códigos de la tarjeta se pidan, más conciencia de seguridad muestra el banco («cuantas más contraseñas más seguro«), rellena gustoso todas las coordenadas. Esta técnica sigue siendo extremadamente usada hoy en día.
Y desde entonces, no se han dado grandes saltos técnicos. Puntualmente, para mejorar su difusión, se intentaron ataques del tipo SMiShing (que tuvo un cierto repunte en 2011), pero el coste asociado solo es asumible por las mafias más consolidadas. Consistía en el envío de, en vez de un correo basura o un mensajes en foros, un SMS con el enlace al sitio falso.
Así que sigue funcionando el simple hecho de colgar una web parecida a la del banco en alguna URL (da igual el tipo o lo parecida o no que resulte al objetivo), y enviar por email un supuesto aviso del banco que apunte a ella. Los intentos de mejorar el sistema se han quedado en el camino, y la base continúa siendo eficaz y barata para los atacantes, que siguen una economía de esfuerzo habitual en cualquier mercado. De hecho, hace poco publicábamos que el 66% de los phishings se cuelgan en páginas comprometidas, lo que habitualmente significa que las URLs no se parecen lo más mínimo a la original y no se protegen por SSL.
Contramedidas
Lo curioso es que a pesar de que los atacantes no han evolucionado, las contramedidas por parte de los «buenos» sí lo han hecho, pero ninguna ha contrariado demasiado a los phishers. El primer paso contra el phishing (y el más eficaz) ya estaba inventado desde mucho antes: SSL y certificados. Pero el usuario nunca les hizo demasiado caso, por lo que no ha dado los resultados esperados. La autenticación con coordenadas tampoco ha frenado a los atacantes, e incluso los tokens de generación de contraseñas de un solo uso (según la implementación) han sido (y siguen siendo) derrotados por un simple phishing «de toda la vida«.
Las barras de detección o listas negras, como cualquier elemento reactivo, no están siendo suficientes. Los navegadores cada vez han mostrado mensajes más agresivos para disuadir al usuario de que visite páginas catalogadas como phishing, o con certificados inválidos, pero con resultados pobres.
Los sistemas antispam, encargados de que los emails de phishing no lleguen a su destino sí han mejorado, pero no tanto como se esperaba. Los atacantes han recurrido a otros métodos de difusión como pueden ser las redes sociales para promocionar su estafa, o se aprovechan de sistemas de correo de banco poco asegurados que permiten una suplantación del dominio. No implementan DKIM o SPF, por ejemplo.
Conclusiones
En 10 años, se han tomado medidas preventivas, reactivas e incluso legales con un éxito muy escaso mientras que, sin apenas cambios técnicos o de filosofía, los atacantes siguen usando el phishing con regularidad y efectividad. Como el correo basura, sigue siendo una realidad palpable, manteniendo métodos muy parecidos desde que comenzó hace incluso más años que el phishing.
La razón es que el phishing (el «hermano pobre» de los troyanos, como mencionamos alguna vez por aquí) es barato, sencillo y eficaz. Y si es, pongamos, 100 veces menos eficaz que hace diez años, lo único que hay que hacer es intentarlo 100 veces más. Todo es cuestión de matemáticas. Para obtener una víctima, quizás hace 10 años necesitaba enviar 100 correos (un 1% de eficacia). Hoy, si el ratio de éxito es de 0,001% de los usuarios, la solución es multiplicar por 1.000 el número de correos para conseguir el mismo beneficio. Y si un banco lo pone difícil implementando medidas de seguridad complejas, simplemente elegirán otro banco que no lo haga. Y en el peor de los casos, recurrirán a páginas que usan una sola contraseña, como redes sociales, correos web o juegos online. Estos datos siempre son vendibles a terceros o aprovechables económicamente. Así de «sencillo«, así de eficaz.
Más información:
Phishing, el «hermano pobre» de los troyanos
Fraude a la banca electrónica con OTP
Intento de fraude a los clientes del BBVA
Los secretos del éxito del phishing
Por qué funciona el phishing
Técnicas phishing afectan a Internet Explorer
El SMiShing llega a España
El 66% de los phishings se cuelgan en páginas comprometidas
Sergio de los Santos
Twitter: @ssantosv
Me cuesta creer de verdad que los usuarios de banca online sean tan ingenuos
Solo tienes que ver los resultados electorales para comprobar hasta que punto la credulidad y estupidez humanas pueden ingeniárselas para empujar a hacerlo.