Los creadores de phishing tienen dos opciones a la hora de colgar sus réplicas de páginas de banca online: o bien compran un dominio o espacio web o bien comprometen una página legítima y suben en ella los archivos necesarios para la estafa. Según el estudio interno basado en los casos tratados por nuestro departamento de antifraude, un 66% de los phishings se alojan en páginas a las que han atacado.
Las fases básicas de un ataque phishing son las siguientes:
1) El atacante realiza una copia de la página legítima. La modifica para pedir todas las coordenadas de la tarjeta, una segunda contraseña, o el móvil, o los datos de la tarjeta de crédito, etc. También para que los datos sean o bien enviados por email al atacante o bien retenidos en el servidor hasta que los recoja.
2) El atacante busca un lugar donde subir la réplica modificada de la página de banca online. Aquí puede decidir entre un hosting (de pago o gratuito), comprar un dominio (o usar uno gratuito), una web comprometida, etc.
3) Una vez con el sistema montado, envía el enlace de forma masiva a una lista de correos. Este envío se puede hacer a través de servicios de terceros, páginas comprometidas, o programas especiales. Por último, también a veces estos enlaces pueden servir de infraestructura para un troyano que debe «esparcir«.
En el paso 2, está en manos del atacante cómo hacerlo. Depende de su «profesionalidad» puede que elija un método u otro. Uno de los más «creíbles» resulta en la compra de un dominio parecido al dominio al que pretende suplantar. Esto lo aloja en un hosting «bulletproof» y desde ahí envía a sus víctimas el enlace. Un servidor «bulletproof» son los que, conocedores que sus servicios son usados para el fraude, reclamarán más dinero por alojar webs ahí, a cambio de hacer caso omiso de cualquier petición de eliminar el contenido ofensivo. Cuanto más tiempo online, más posibilidades de recoger los datos de más víctimas. Suelen estar alojados en Rusia.
La otra opción es la de romper la seguridad de una página cualquiera, y subir en ella el código. La elección de la web víctima suele hacerse por su tipo de software. Si el atacante conoce bien o sabe cómo aprovechar una vulnerabilidad en el software X, versión Y, buscará páginas de este tipo no aseguradas y ahí subirá su phishing. No compra ningún dominio ni se preocupa del aspecto de la URL.
Según nuestro estudio, basado sólo en casos de phishing (excluyendo troyanos), esta última opción es escogida en el 66% de los ataques en los casos que hemos tratado durante los últimos cuatro años. El 30% recurre a hostings gratuitos o de pago, y el resto opta por otras opciones (como por ejemplo adjuntar la página HTLM directamente en un correo, y que la víctima la cargue en local).
Este estudio está basado en los ataques que reciben nuestros propios clientes y atendidos con nuestro servicio de antifraude. Pero dado el número de casos estudiado y la variedad de entidades atacadas, creemos que puede resultar en una buena aproximación.
Conclusiones
Se pueden sacar dos sencillas conclusiones de esta pequeña recopilación basada en nuestra propia experiencia:
- Los atacantes no se «complican la vida«. Obtienen un buen ratio de efectividad realizando un mínimo esfuerzo. Por tanto, simplemente con comprometer una web, no necesitan registrarse en hostings, comprar dominios, o realizar ningún tipo de inversión (en tiempo o dinero). Solo buscar una web vulnerable, comprometerla y subir ficheros es lo más sencillo para ellos.
- El hecho de que lo más sencillo para los atacantes sea subir una página web en una página comprometida indica que «hay donde elegir«, es decir, es más fácil comprometer una web que buscar un espacio en un hosting.
Laboratorio Hispasec
Deja una respuesta