Web Phishing: molte pagine spariscono durante le prime 24 ore

Il phishing costituisce una delle minacce cibernetiche più comunemente utilizzate agli aggressori per l’estrazione illecita dei dati bancari. Ciò ha reso necessario sapere come i diversi strumenti utilizzati per commettere questo tipo di attacchi, comprese le pagine Web false che replicano le pagine Web bancarie.

In tal senso, i ricercatori della Kaspersky sono stati assegnati al compito di analizzare il ciclo di vita di questo tipo di pagine. Dopo aver terminato il loro lavoro, il team ha scoperto che una su tre pagine del phishing è scomparsa per un giorno, motivo per cui è difficile per uno strumento antiphishing rilevare il collegamento dannoso sotto il quale è stato progettato e aggiungerlo al suo database.

Per un periodo di tre settimane, i membri dello studio sono riusciti a raccogliere un totale di 5.307 pagine di phishing, di cui, un totale di 1.784 era scomparso dopo il primo giorno, alcuni anche dopo che sono stati aggiunti alla lista. Il resto dei siti Web non ha durato più di 94 ore attive.

Tenendo conto della breve esistenza di pagine phishing, gli attaccanti dovrebbero cercare un modo per diffondere i loro collegamenti il ​​più rapidamente possibile prima che scadano. Per fare ciò, creano una nuova pagina invece di apportare modifiche su qualsiasi esistente.

Aggiunto a questo, i cybercriminali hanno incorporato in queste pagine una funzione responsabile per alterare a caso alcuni elementi del codice per farli passare abbastanza inutilizzati prima di essere rilevati da strumenti antiphishing.

Inoltre, Kaspersky ha incluso nella relazione condotta in questo argomento due aspetti da considerare:

1. Gli aggressori hanno la capacità di creare le proprie reti connessi a wi-fi pubbliche in cui possono quindi creare indirizzi di pagine Web falsi, oltre a generare reindirizzamenti a questo tipo di pagine.
2. Non sempre la presenza del prefisso HTTPS comporta una connessione Web sicura, dal momento che i cybercriminali possono persino emettere il proprio certificato SSL.

Aggiunto a questo, molte delle pagine di phishing sono alloggiate nelle sottodirectory e in sottodomini di siti Web legittimi. In questo modo gli attaccanti possono avere l’opportunità di agire rapidamente e mettere in circolazione queste pagine nel momento in cui la loro attività viene rilevata dallo strumento antiphishing.