A Covid-19 continua a encorajar significativamente os esforços de phishing e fraude dos crimonosos cibernéticos, de acordo com uma nova pesquisa da F5 Labs
A quarta edição do Relatório de Phishing e Fraude descobriu que os incidentes de phishing aumentaram 220% durante o auge da pandemia global em comparação com a média anual.
Com base nos dados do Centro de Operações de Segurança (SOC) da F5, o número de incidentes de phishing em 2020 está definido para aumentar 15% ano a ano, embora isso possa mudar em breve com a propagação de uma segunda onda da pandemia.
Os três objetivos principais para e-mails de phishing relacionados a Covid-19 foram identificados como doações fraudulentas para instituições de caridade falsas, coleta de credenciais e entrega de malware.
O oportunismo do invasor foi mais uma evidência quando a F5 Labs examinou os logs de transparência de certificado, um registro de todos os certificados digitais publicamente confiáveis. O número de certificados usando os termos ‘covid’ e ‘corona’ atingiu o pico de 14.940 em março, um aumento massivo de 1.102% em relação ao mês anterior.
“O risco de phishing é maior do que nunca e os fraudadores estão cada vez mais usando certificados digitais para fazer seus sites parecerem genuínos”, disse David Warburton, da F5 Labs.
“Os invasores também são rápidos em aderir a tendências emocionantes e o Covid-19 continuará a alimentar uma ameaça já significativa. Infelizmente, nossa pesquisa indica que os controles de segurança, o treinamento do usuário e a conscientização geral ainda parecem estar insuficientes em todo o mundo”.
Domínio de um phisher
De acordo com a pesquisa dos anos anteriores, a F5 Labs observou que os fraudadores estão se tornando cada vez mais criativos com os nomes e endereços de seus sites de phishing.
Em 2020 até o momento, 52% dos sites de phishing usaram nomes de marcas e identidades em seus endereços de sites. Usando dados da Webroot, a F5 Labs descobriu que a Amazon era a marca mais visada no segundo semestre de 2020. Paypal, Apple, WhatsApp, Microsoft Office, Netflix e Instagram também estavam entre as 10 marcas mais falsificadas.
Ao rastrear o roubo de credenciais para uso em ataques ativos, o F5 Labs observou que os criminosos tentavam usar senhas roubadas quatro horas após o phishing da vítima. Alguns ataques ocorreram até em tempo real para permitir a captura de códigos de segurança de autenticação multifator (MFA).
Enquanto isso, os cibercriminosos também se tornaram mais implacáveis em seus lances para sequestrar URLs confiáveis, embora vulneráveis - geralmente de graça. Os sites WordPress sozinhos foram responsáveis por 20% dos URLs de phishing genéricos em 2020. O número era tão baixo quanto 4,7% em 2017.
Além disso, os criminosos estão cada vez mais cortando custos usando registradores gratuitos como o Freenom para determinados domínios de nível superior de código de país (ccTLDs), incluindo .tk, .ml, .ga, .cf e .gq. Como exemplo, .tk é agora o quinto domínio registrado mais popular do mundo.
Sites fraudulentos
2020 também viu os phishers intensificarem os esforços para fazer os sites fraudulentos parecerem o mais genuínos possível. As estatísticas F5 SOC descobriram que a maioria dos sites aproveitaram a criptografia, com 72% usando certificados HTTPS válidos para enganar as vítimas. Este ano, 100% das zonas destinos de dados roubados enviados por malware usaram criptografia TLS (contra 89% em 2019).
Ameaças futuras
De acordo com uma pesquisa recente da Shape Security, que foi integrada ao Relatório de Phishing e Fraude pela primeira vez, há duas tendências principais de phishing no horizonte. Como resultado de soluções e controles de segurança aprimorados para tráfego de bots (botnet), os invasores estão começando a adotar click farms. Isso envolve dezenas de “trabalhadores” remotos tentando sistematicamente fazer logon em um site de destino usando credenciais recentemente obtidas. A conexão vem de um ser humano usando um navegador da web padrão, o que torna a atividade fraudulenta mais difícil de detectar.
Mesmo um volume relativamente baixo de ataques tem impacto. Como exemplo, a Shape Security analisou 14 milhões de logins mensais em uma organização de serviços financeiros e registrou uma taxa de fraude manual de 0,4%. Isso é o equivalente a 56.000 tentativas de logon fraudulentas e os números associados a esse tipo de atividade só devem aumentar.
Os pesquisadores da Shape Security também registraram um aumento no volume de proxies de phishing em tempo real (RTPP) que podem capturar e usar códigos de autenticação multifator (MFA). O RTPP atua como uma pessoa intermediária e intercepta as transações da vítima com um site real. Como o ataque ocorre em tempo real, o site malicioso pode automatizar o processo de captura e reprodução de autenticação baseada em tempo, como códigos MFA. Ele pode até roubar e reutilizar cookies de sessão.
Proxies de phishing em tempo real recentes em uso ativo incluem Modlishka2 e Evilginx23. O F5 Labs e o Shape Security devem monitorar o uso crescente de RTPPs nos próximos meses.
“Os ataques de phishing continuarão a ter sucesso enquanto houver um humano que possa ser psicologicamente manipulado de alguma forma. Os controles de segurança e os navegadores da web devem se tornar mais eficientes em destacar sites fraudulentos para os usuários”, diz Warburton. “Indivíduos e organizações também precisam ser continuamente treinados nas técnicas mais recentes usadas por fraudadores. Crucialmente, deve haver uma grande ênfase na maneira como os invasores estão sequestrando tendências emergentes, como Covid-19”, conclui.
Clique abaixo para compartilhar este artigo
