El creciente peligro de los ataques de suplantación de identidad de URL

¿No se siente mucho más seguro sabiendo que el icono del candado está presente en el sitio web que está navegando en este momento? Puede pensar de esa manera por ahora, pero los ciberdelincuentes siempre encontrarán la manera de evitar estas cosas.

De hecho, los phishers han adoptado con éxito el protocolo HTTPS dentro de sus campañas, que continúa creciendo en popularidad, lo que les permite engañar a los usuarios haciéndoles creer que los enlaces o correos electrónicos maliciosos que envían provienen de entidades legítimas. Aquí es donde entra en juego el phishing HTTPS basado en URL.

¿Qué es el phishing HTTPS basado en URL?

Cuando hablamos de phishing HTTPS, nos referimos a páginas de destino o sitios web que una persona visita normalmente. Muchas personas pueden confundirse con el phishing porque a menudo se piensa que solo afecta el correo electrónico, pero en realidad, el correo electrónico es solo la primera etapa . La mayoría de las veces, el agresor le pedirá que descargue un archivo adjunto o incluso lo lleve a un sitio web malicioso.

El desafío para los phishers es que el phishing estándar puede contrarrestarse educando a los usuarios . Numerosos estudios demuestran que las simulaciones de phishing realizadas a lo largo del tiempo y en intervalos frecuentes muestran una mejora notable en la identificación de estos problemas. Y una de las reglas principales durante tales simulaciones es no caer en enlaces o archivos adjuntos sospechosos.

Siendo ese el caso, los ciberdelincuentes de hoy comenzaron a evolucionar.

La popular empresa de ciberseguridad, FireEye, menciona un par de nuevas variantes para los ataques basados ​​en URL. La idea aquí es seguir enviando un correo electrónico sin ningún contenido, excepto un enlace en su cuerpo. Ahora bien, esto puede parecer realmente fácil de ignorar, pero FireEye ha observado un aumento del 26% en su uso solo en los meses iniciales de 2019, una prueba de que puede ser efectivo.

Para aquellos que son lo suficientemente diligentes, pueden continuar y verificar la dirección o examinar el encabezado del correo electrónico . El problema aquí es que no muchos usuarios hacen estas cosas. Por lo tanto, es fácil ver por qué alguien caería en esta táctica.

Dado que la primera variante es un correo electrónico sin ningún contenido, excepto un enlace en el que hacer clic, la segunda variante no tiene ningún enlace. Es el mismo correo electrónico sin contenido sin una URL en la que se puede hacer clic, lo que dificulta la detección de los filtros ya que no hay un enlace activo disponible. En este caso, el enlace solo se activa una vez que el objetivo ingresa esto en su navegador.

La mayoría de estos correos electrónicos se envían sin tener presente el componente HTTPS, pero no requiere que los perpetradores tengan una certificación SSL. Sin embargo, poder agregar HTTPS al comienzo de una URL agrega un nivel completamente nuevo de falsa confianza que puede empujar a algunas personas a hacer lo que el phisher está pidiendo.

Al final, la verdadera defensa para estas situaciones es simplemente educarse.

Un número creciente de sitios web de phishing ahora usan HTTPS

Las técnicas de phishing HTTPS se han expandido lentamente en los últimos años, pero en informes recientes, cada mes se crean 1,4 millones de nuevos sitios de phishing. Se espera que este número continúe creciendo en los próximos años. Aún más alarmante es que los sitios de phishing HTTPS han aumentado al 49% en 2018, frente al 25% en 2017.

Eso es un gran aumento. No podemos decir que el phishing HTTPS seguirá siendo un problema porque ya lo es en la actualidad. Y tampoco hay señales que demuestren que disminuirá en el corto plazo, especialmente con el impulso de toda la industria para tener HTTPS como estándar.

¿Cómo llegamos aquí?

Hoy en día, la mayoría de los sitios web utilizan el protocolo HTTPS, que supuso un gran cambio en comparación con hace varios años, cuando solo se utilizaba para sitios que permitían el inicio de sesión con contraseña. Lo que aumentó el uso de certificados SSL / TLS junto con HTTPS fue la insistencia de Google en 2015 en que esto impactaría positivamente en los algoritmos de los motores de búsqueda.

De repente, los sitios web que no tenían HTTPS comenzaron a ver efectos negativos debido a esto. En 2018, Google Chrome junto con muchos navegadores populares como Firefox y Edge comenzaron a marcar sitios que no tenían HTTPS como "no seguros". Los sitios web y los usuarios adoptaron el enfoque y, por lo tanto, HTTPS se consideró algo bueno, mientras que la falta de él simplemente fue una mala experiencia.

Los ciberdelincuentes también tuvieron la idea, que muestra cómo aumentó el aumento de sitios web de phishing con HTTPS en sus dominios alrededor del año 2017. Y el pensamiento más preocupante ahora es que estos atacantes pueden comenzar a abusar de dominios validados con certificados legítimos.

Muchos usuarios no saben lo que hace HTTPS

Puede resultar sorprendente saber lo poco que la gente sabe sobre lo que hace y lo que sucede en línea. En el pasado, los usuarios de Internet tenían que saber leer y escribir en el uso de computadoras, ya que antes solo se podía acceder a Internet a través de estos dispositivos. Sin embargo, ahora, casi cualquier persona que tenga un teléfono inteligente con conectividad a Internet puede conectarse, eliminando efectivamente la barrera del conocimiento para ingresar.

Y en comparación con los teléfonos inteligentes, los navegadores de escritorio tradicionales al menos hicieron un esfuerzo para enseñar a los usuarios cómo usarlos. Este ya no es el caso hoy. Por lo general, se deja a las personas para que hagan lo que quieran y resuelvan las cosas a lo largo del camino. Existen numerosos indicadores visuales a la hora de navegar en la actualidad que deberían servir como una especie de guía para que los usuarios sepan qué está pasando cuando navegan por la Web.

Desafortunadamente, este no es el caso. Los símbolos como el icono del candado, que es sinónimo de HTTPS, no han logrado lo que se supone que deben hacer. Podemos comenzar con el hecho de que estos candados esencialmente significan que la conexión que realiza con el servidor que aloja el sitio o la aplicación está encriptada y es segura. Cualquier dato que se intercambie entre las dos partes está a salvo de atacantes externos que podrían intentar interceptar dicha conexión.

Sin embargo, sin un tipo de autenticación para una organización, simplemente no hay garantía sobre la reputación de la parte en el extremo opuesto. Verá, los piratas informáticos también pueden usar HTTPS, por lo que, aunque el candado puede significar que la conexión es segura, no hay garantías de lo que hará el host con los datos que les envíe.

Es importante tener en cuenta que HTTPS sigue siendo un aspecto muy positivo que los sitios web deben tener para protegerse de las miradas indiscretas. El punto aquí es que tener su presencia asociada con conexiones cifradas no significa automáticamente que se deba confiar en los propietarios del sitio.

Entonces, ¿cómo puedo vencer a estos phishers?

Además de no confiar simplemente en los dominios con HTTPS, los expertos recomiendan que compruebe si hay errores ortográficos en los propios nombres de dominio . También es fundamental que desconfíe de los enlaces que llegan por correo electrónico y, al mismo tiempo, protege sus credenciales activando autenticaciones multifactor siempre que sea posible.

Tener un administrador de contraseñas también es una buena idea, ya que estas aplicaciones a menudo validan los dominios antes de autocompletarlos con sus credenciales. Si su software no proporciona automáticamente la información de inicio de sesión, esto podría ser un indicio de que algo no está bien en dicho sitio web.