Phishing moderno: pregunté cómo funcionan los jugos

Phishing moderno

Es muy posible que muchos de nosotros hayamos experimentado el phishing moderno. Notamos que las páginas de inicio de sesión se crean para convencer a los usuarios de que inicien sesión en un servicio válido. Cuando el usuario no se da cuenta de que la página de phishing es falsa, los datos de inicio de sesión o la información de la tarjeta de crédito se envían a los atacantes. Las credenciales robadas y la información personal se utilizan para cometer robo de identidad y actividades fraudulentas.

Esto es lo que un empleado de Sucuri.net :

“Trabajar como investigador de malware me brinda una gran oportunidad de ver muchos intentos de phishing moderno en su interior. En otras palabras, veo lo que hay detrás de la cortina ”.

En la mayoría de los casos, el método utilizado por el phishing moderno es simplemente una copia muy simple de una página de inicio de sesión para Facebook, Google, bancos, compañías de seguros, etc. Los atacantes incluyen imágenes almacenadas localmente, CSS y JavaScript para producir copias casi idénticas de la página de inicio de sesión original. La diferencia importante está representada por los scripts de malware PHP que envían el nombre de usuario y la contraseña directamente al atacante. Es así de simple. Veremos algunos ejemplos de cómo los intentos de phishing aumentan en complejidad, para engañar a los usuarios y abusar de los recursos en sitios pirateados.

Pesca moderna – Ataques básicos

En los ataques básicos con la pesca moderna, la tarea del atacante es después de que se recopile la información delicada y se le presente al usuario una página falsa. Un resultado común es el ícono de carga que da la impresión de que algo está sucediendo (lo que significa que está casi conectado).

Imagen tomada
Imagen tomada

Si alguna vez se ve bloqueado por un ícono de carga de rotación larga, verifique la barra de direcciones. Si está en el sitio equivocado, actualizar o cerrar su navegador no ayudará. Desde el momento en que ve el icono de carga, sus datos confidenciales ya se han enviado a los atacantes.

La buena noticia es que descubrió el phishing moderno a tiempo (y saber que estaba comprometido) le da tiempo para reaccionar rápidamente:

  • Cambia tus contraseñas
  • Verifique su cuenta bancaria en busca de transacciones inusuales
  • Bloquea tu tarjeta de crédito
  • Póngase en contacto con el sitio de donde proviene la página de phishing

Ataques de phishing complejos

Múltiples ataques de phishing involucran solo unas pocas líneas adicionales de código. Estas páginas aún contienen el ícono de carga, pero después de unos segundos, lo redireccionan al sitio real (incluso directamente a la página de inicio de sesión legítima).

Aún no ha iniciado sesión, ya que su inicio de sesión ha sido enviado al atacante a cambio.

Consejo rapido:

Si ha iniciado sesión después de la redirección, la página de inicio de sesión oficial se abrirá nuevamente y no su cuenta oficial, significa que se ha familiarizado con el phishing moderno. Inicie sesión rápidamente en la cuenta oficial y cambie su contraseña, bloquee la tarjeta, notifique al banco, etc..

Esta vez no tuvo la oportunidad de darse cuenta, porque la barra de direcciones muestra el sitio legítimo. La mayoría de las víctimas creen que hubo un el problema con su contraseña u otro problema técnico, así que inténtelo de nuevo y regístrese correctamente.

La víctima se olvida de este problema y continúa como si nada. Unas horas, días o incluso meses después, comienzan los verdaderos problemas. Si optan por esto, el atacante puede comenzar a usar las credenciales robadas y la información personal inmediatamente después de que los datos se le envíen con éxito.

Imagen tomada
Imagen tomada

Revisa la barra de direcciones

Como se demostró anteriormente, es esencial verificar dónde ingresa la información confidencial. En muchos casos, una simple verificación de la barra de direcciones en el navegador lo ayudará a comprender que no se encuentra en el sitio deseado.

Aquí hay algunas cosas que puede verificar para evitar el phishing moderno:

  • Ingrese su información de inicio de sesión de Google Drive en docs.gooogle.com?
  • ¿El sitio es HTTPS (HTTP seguro)?
  • ¿Hay algún problema con el certificado SSL informado en el icono de candado? (Haga clic en el candado verde para ver si el certificado SSL es válido)

Ddetalles técnicos de los ataques de phishing avanzados

Pero, ¿cómo se ve realmente un ataque de phishing moderno desde la perspectiva de un especialista en malware? Para aquellos que estén interesados, echemos un vistazo detrás de la cortina.

Comencemos con uno index.php. ¿Esperas a que se copie la página de phishing? No del todo, no exactamente …

Este es un buen ejemplo de un backend de phishing complejo, que permite al atacante no solo robar información, sino hacerlo de una manera inteligente para obtener mucho más de ella.

módulo chmod.php crea (con los permisos adecuados) todos los archivos de registro para el backend:

Imagen tomada
Imagen tomada

Ahora es el momento de iniciar sesión. visitante_log.php simplemente registra los datos de los visitantes, incluso la zona horaria. Eso podría decirnos algo sobre el atacante. Pues sí, estamos hablando de phishing moderno, el atacante evita despertarlo en mitad de la noche, si no es necesario. Creo que los atacantes quieren leer la información en su propia zona horaria.

Imagen tomada
Imagen tomada

Ahora nos metemos en cosas interesantes. Estos atacantes verifican de qué sitio proviene el visitante (a través de HTTP_REFERER).

Si el visitante proviene de un servicio de seguridad (como phishtank.com, que permite a los usuarios comprobar las páginas de phishing denunciadas), muestran una página de error 404 para intentar engañar a los investigadores de seguridad para que crean que la página no existe. Esto les ayuda a proteger su campaña de phishing. El phishing moderno se ha vuelto muy difícil de detectar, pero no imposible.

Imagen tomada
Imagen tomada

Pero eso no es todo. Los atacantes no solo revisan los servicios de phishing, sino también su propia lista negra, que bloquea otros servicios de seguridad que podrían ser una amenaza para ellos. La imagen a continuación enumera 122 empresas, incluidos los dominios de IP.

Imagen tomada
Imagen tomada

Después de todos los registros y comprobaciones, finalmente veremos los datos de phishing.

Estos atacantes registran todos los ataques y toda la información disponible sobre la víctima, como el navegador y el agente de usuario:

Imagen tomada
Imagen tomada

Conclusión

Aparte de los intentos de phishing básicos (que son tan peligrosos como los complejos), vemos tendencias similares en cualquier otro negocio. Por ejemplo, hay menos copias de scripts y más piratas informáticos de élite. Estos ciberdelitos son cometidos por grupos experimentados de personas capacitadas que saben qué hacer y cómo hacerlo.

En este sentido, como propietarios de sitios web, debemos prestar especial atención a cómo se utilizan los activos web para facilitar estos ataques. El mayor desafío que veo es que la mayoría de los propietarios de sitios web no son conscientes de que sus sitios están siendo utilizados para malas acciones, y la mayoría de los propietarios de sitios web razonables se sentirían avergonzados.

El mayor desafío del phishing moderno es que son difíciles de detectar. Dados los ejemplos anteriores, puede ver cómo el código en sí no es malicioso y podría encajar perfectamente en la construcción del sitio web. Los atacantes saben esto y complican el proceso al incorporar páginas en la estructura de archivos de su sitio. Para solucionar esto, es importante monitorear activamente la integridad de los archivos y directorios de su sitio.

Si sospecha que su sitio está siendo utilizado en una campaña de phishing, analice su sitio con herramienta gratuita ofrecida por Juices. Y por $ 10 al mes, puede dormir tranquilo.

Recomendaciones del editor:

Compartir con tus amigos:

Deja un comentario