Padrões de phishing na EMEA: Insights do F5 SOC

Não é segredo para aqueles que praticam pesca de verdade (de peixes vivos de verdade) que o momento certo é importante. Certos tipos de peixes são mais ativos e, portanto, mais propensos a serem capturados pela manhã, outros à noite e outros ainda no início da tarde.

Acontece que o phishing digital não é diferente, se interpretarmos os padrões exibidos por aqueles que conduzem tais atividades com base em estatísticas coletadas pelo nosso F5 SOC em 2015 a partir de tentativas de phishing feitas contra instituições financeiras na Europa, Oriente Médio e África (EMEA). 

O TEMPO É IMPORTANTE

Se você quiser evitar ser pego por um ataque de phishing na EMEA, o melhor dia da semana para realizar negócios financeiros seria sábado. Apenas 5% dos ataques ocorreram em 2015, sendo sexta-feira e domingo a segunda melhor opção, com apenas 12% ocorrendo em qualquer um desses dias.

A má reputação de segunda-feira se mantém, pois mais ataques foram vistos na segunda-feira (20%) do que em qualquer outro dia, embora o resto da semana de negócios não tenha se saído muito melhor. Não é nenhuma surpresa que as instituições financeiras sofram mais ataques, em média, durante a semana de trabalho do que nos fins de semana, considerando que uma pesquisa da IDC indica que 30-40% do tempo de acesso à Internet no local de trabalho é gasto em atividades não relacionadas ao trabalho[1].

Isso é ainda mais reforçado por dados que mostram que a maioria dos ataques de phishing ocorre durante o horário comercial.

Em 2015, também foi 200% mais provável que você visse um ataque de phishing no início do mês do que no final. Os ataques de phishing atingiram o pico durante a primeira semana do mês e depois diminuíram, com atividade previsivelmente maior durante a semana e menor atividade nos fins de semana.

Não é de surpreender que, na região EMEA, a maioria dos empregadores extraia os salários dos funcionários no início ou no final do mês. Os especialistas do F5 SOC observam que isso, combinado com a média de 46% de uso de serviços bancários on-line na UE[2], é provavelmente o motivo pelo qual vemos um aumento acentuado nos ataques no início do mês, quando os funcionários acessam seus sistemas bancários on-line para pagar contas ou verificar se seus salários já foram depositados.

ESCOLHENDO A ISCA CERTA

Ao pescar no mundo físico, nenhum tópico é tão controverso quanto qual isca é melhor. Cores, tamanho, movimento e o quão próximo a isca imita o mundo “real” são fatores importantes. Afinal, estamos tentando convencer os peixes de que a isca que estamos usando é real, na esperança de que eles mordam a isca. O mesmo vale para as iscas e sites usados por phishers de dados financeiros no mundo digital.

Acontece que, assim como os peixes precisam de muito esforço para serem convencidos, o mesmo acontece com potenciais vítimas de phishing. O F5 SOC descobriu que, em média, foram necessárias 9,14 visitas a uma página fraudulenta antes que alguém mordesse a isca.

Especialistas gastam muito tempo avaliando sites fraudulentos descobertos para descobrir o máximo possível sobre os phishers e suas técnicas. Acontece que eles podem dizer muito sobre os invasores pelos URLs usados em ataques de phishing. Em 2015, observou-se que 1 em cada 10 sites fraudulentos estava hospedado na direção raiz sem nenhum caminho adicional, por exemplo, www.phishingsite.com ou www.phishingsite.com/index.html, indicando que os servidores foram preparados especificamente para hospedar sites fraudulentos. Isso significa que eles provavelmente foram comprados especificamente para ataques de phishing. Normalmente, os invasores invadem e injetam conteúdo malicioso em um site existente, então essa medida é desconcertante, pois a configuração do site não é propensa à detecção por outros meios preventivos, como firewalls de aplicativos da web.

Não é surpreendente descobrir que 15% dos sites fraudulentos estavam hospedados em pastas do Word Press, dado o número de vulnerabilidades graves relatadas como afetando o popular sistema em 2015. Vulnerabilidades não corrigidas e/ou não resolvidas são facilmente exploradas por aqueles que procuram um lugar para hospedar seus códigos maliciosos e sites fraudulentos.

Além disso, especialistas do F5 SOC observam que 20% dos caminhos de URL foram gerados dinamicamente por vítima, dificultando o bloqueio com medidas de segurança tradicionais. Isso também contribui para o tempo médio que levou em 2015 para remover ou fechar sites fraudulentos.

A boa notícia é que leva menos tempo para derrubar um site fraudulento quando as credenciais do usuário final foram roubadas. A má notícia é que, durante essas horas, muitos usuários permanecem desprotegidos e, portanto, inconscientes do perigo potencial.

O F5 SOC recomenda o monitoramento de domínios com nomenclatura semelhante à oficial para diminuir o tempo entre o estabelecimento e a detecção. Muitas páginas falsas, mesmo que não necessariamente hospedadas em domínios com nomes semelhantes, contêm sequências de caracteres oficiais no URL de ataque. Em geral, o F5 SOC recomenda pesquisar na Internet por essas palavras específicas. Ataques de phishing direcionados a instituições financeiras localizadas na EMEA tendem a ser mais ativos durante o horário comercial, de segunda a quinta-feira. O tempo é essencial para evitar que os consumidores se tornem vítimas de roubo de credenciais, por isso é importante analisar e desativar todas as páginas falsas o mais rápido possível.

[1] http://www.staffmonitoring.com/P32/stats.htm

[2] http://www.statista.com/statistics/222286/online-banking-penetration-in-leading-european-countries/

Você pode aprender mais sobre a proteção contra fraudes do F5 na ficha técnica do WebSafe e também na ficha técnica do MobileSafe . Para saber mais sobre os F5 Security Operation Centers, você pode conferir a folha de dados do F5 SOC