Ataques de phishing sobem 220% durante o pico da COVID-19 conforme o oportunismo cibernético se intensifica
David Warburton, autor do Relatório de Phishing e Fraude de 2020 do F5 Labs, descreve como os fraudadores estão se adaptando à pandemia e mapeia as tendências futuras neste vídeo, com comentários resumidos abaixo.
A COVID-19 continua a encorajar significativamente os esforços de phishing e fraude dos cibercriminosos, de acordo com uma nova pesquisa do F5 Labs.
Na quarta edição do Relatório de Phishing e Fraude , foi descoberto que os incidentes de phishing aumentaram 220% durante o pico da pandemia global em comparação com a média anual.
Com base em dados do Centro de Operações de Segurança (SOC) da F5, o número de incidentes de phishing em 2020 deve aumentar 15% ano a ano, embora isso possa mudar em breve, à medida que ondas adicionais da pandemia se espalham.
Os três objetivos principais dos e-mails de phishing relacionados à COVID foram identificados como doações fraudulentas para instituições de caridade falsas, coleta de credenciais e distribuição de malware.
O domínio de um phisher
Conforme pesquisas de anos anteriores , o F5 Labs observou que os fraudadores estão se tornando cada vez mais criativos com os nomes e endereços de seus sites de phishing.
Em 2020 até o momento, 52% dos sites de phishing usaram nomes e identidades de marcas-alvo em seus endereços de sites. Usando dados de sites de phishing da Webroot, a F5 Labs descobriu que a Amazon foi a marca mais visada no segundo semestre de 2020. Paypal, Apple, WhatsApp, Microsoft Office, Netflix e Instagram também estavam entre as dez marcas mais falsificadas.
Ao rastrear o roubo de credenciais até o uso em ataques ativos, a F5 Labs observou que os criminosos estavam tentando usar senhas roubadas dentro de quatro horas após o phishing de uma vítima. Alguns ataques ocorreram até mesmo em tempo real para permitir a captura de códigos de segurança de autenticação multifator (MFA).
Escondido à vista de todos
Em 2020, os phishers também intensificaram os esforços para fazer com que sites fraudulentos parecessem o mais genuínos possível. Estatísticas do F5 SOC descobriram que a maioria dos sites de phishing utiliza criptografia, com 72% deles usando certificados HTTPS válidos para enganar as vítimas. Este ano, 100% das zonas de lançamento — os destinos dos dados roubados enviados por malware — usaram criptografia TLS (aumento de 89% em 2019).
Combinando incidentes de 2019 e 2020, o F5 Labs relatou adicionalmente que 55,3% das zonas de lançamento usaram uma porta SSL/TLS não padrão. A porta 446 foi usada em todas as instâncias, exceto uma. Uma análise de sites de phishing descobriu que 98,2% usavam portas padrão: 80 para tráfego HTTP de texto simples e 443 para tráfego SSL/TLS criptografado.
Ameaças futuras
De acordo com uma pesquisa recente da Shape Security , que foi integrada ao Phishing and Fraud Report pela primeira vez, há duas grandes tendências de phishing no horizonte.
Como resultado de melhores controles e soluções de segurança para tráfego de bots (botnet), os invasores estão começando a adotar fazendas de cliques. Isso envolve dezenas de “trabalhadores” remotos tentando sistematicamente fazer login em um site alvo usando credenciais coletadas recentemente. A conexão vem de um humano usando um navegador da web padrão, o que torna a atividade fraudulenta mais difícil de detectar.
Mesmo um volume relativamente baixo de ataques tem impacto. Como exemplo, a Shape Security analisou 14 milhões de logins mensais em uma organização de serviços financeiros e registrou uma taxa de fraude manual de 0,4%. Isso equivale a 56.000 tentativas fraudulentas de login, e os números associados a esse tipo de atividade só tendem a aumentar.
Os pesquisadores da Shape Security também registraram um aumento no volume de proxies de phishing em tempo real (RTPP) que podem capturar e usar códigos de autenticação multifator (MFA). O RTPP atua como uma pessoa intermediária e intercepta as transações da vítima com um site real. Como o ataque ocorre em tempo real, o site malicioso pode automatizar o processo de captura e reprodução de autenticação baseada em tempo, como códigos MFA. Ele pode até roubar e reutilizar cookies de sessão.
Os proxies de phishing em tempo real mais recentes em uso ativo incluem Modlishka e Evilginx2 . A F5 Labs e a Shape Security devem monitorar o uso crescente de RTPPs nos próximos meses.
Baixe o Relatório de Phishing e Fraude de 2020 do F5 Labs para saber mais .
Sobre o Relatório
O Relatório de Phishing e Fraude do F5 Labs deste ano examina cinco anos de incidentes de phishing do F5 Security Operations Center (SOC) e analisa profundamente sites de phishing ativos e confirmados fornecidos pelos Serviços de Inteligência Webroot® BrightCloud® da OpenText. Ele também inclui análise de dados de mercado da dark web da Vigilante e pesquisa da Shape Security. Juntos, eles constroem uma imagem completa e consistente do mundo do phishing.