¡Has ganado la lotería española!», «Soy el asesor legal de un fondo de cobertura y tienes derecho a reclamar los ingresos», «Debes $ 5000 en impuestos y debes pagar ahora», este tipo de mensajes, que aterrizan en nuestras bandejas de entrada a diario, están diseñados para engañarlo y hacerle proporcionar información confidencial.
Conocido como phishing, los estafadores intentarán obtener una respuesta emocional de usted, ya sea por temor a que haya enojado al recaudador de impuestos sin darse cuenta o por el placer de que pronto obtenga efectivo inesperado.
Una vez que haya ingresado, los ciberdelincuentes lo enviarán a dominios maliciosos que alojan cargas de malware o también pueden ser réplicas de dominios legítimos que le solicitan detalles de la cuenta.
A medida que nos hemos vuelto más hábiles para exitar las campañas masivas de correo electrónico no deseado, las tácticas han seguido evolucionando, y también se puede abusar de servicios confiables para promover los fines de los estafadores.
El pasado miércoles, investigadores de ciberseguridad de Akamai revelaron un estudio sobre cómo los phishers están abusando de las plataformas de análisis de datos. Más de la mitad de todos los sitios web ahora usan análisis para rastrear y medir la cantidad de visitantes, páginas populares, participación y tiempo dedicado, y más.
Google Analytics es la plataforma líder y se estima que el servicio gratuito se adapta a aproximadamente 30 millones de sitios web.
Si bien los usuarios legítimos pueden implementar Google Analytics para medir el ROI, los estafadores también usarán el servicio para rastrear marcadores técnicos, incluidos los navegadores, los países y los sistemas operativos de los visitantes, para ajustar las campañas de phishing y los dominios maliciosos para que sean más visibles para un mercado objetivo.
Akamai escaneó 62,627 URL de phishing activo, pertenecientes a 28,906 dominios web únicos. Los identificadores únicos en algunos de los dominios se vincularon a Google Analytics, y se usaron muchas ID para más de un sitio web.
Cuando los dominios fraudulentos tienen una ID de Google Analytics registrada, esto puede ser con el propósito de rastrear el éxito de una campaña de phishing, pero en algunos casos, el código de ID pertenecía al dominio original, probablemente arrancado del código fuente y reutilizado sin pensarlo.
En otros casos, los sitios web de suplantación de identidad (phishing) fueron enredados por las compañías objetivo y se usaron ID para rastrear estos dominios e intentar redirigir a las posibles víctimas de regreso a aguas seguras.
Una campaña de suplantación de identidad utiliza una identificación que pertenece a una red de análisis conectada a LinkedIn. Varios dominios de phishing que alojan la misma ID se han vinculado a campañas de phishing recientes dirigidas a usuarios de LinkedIn.
«La campaña registró muchos dominios engañosos para atraer a sus víctimas, pero cada dominio alojó una variación diferente del código fuente del kit de suplantación de identidad (phishing), lo que dificulta detectarlos a todos sin el ID de Google», dice Akamai.
Los estafadores pueden aprovechar Google Analytics para sus propios fines, pero el código de seguimiento también puede ser beneficioso para los investigadores que intentan encontrar y cerrar sitios web maliciosos.
En otro caso, se usó una identificación legítima de Airbnb dirigida a inicios de sesión, en un dominio que era benigno pero capaz de generar subdominios maliciosos. En este caso, el uso de la identificación original ayudó a los investigadores, ya que hizo que la campaña «se destaque como un faro» y, por lo tanto, sea mucho más fácil para ellos cerrar la operación.
«Comprender el alcance total de una campaña de phishing dada es un problema conocido cuando se trata de detección», comentó el equipo. «Las ID de seguimiento pueden ayudar a agrupar las campañas, lo que facilita la localización y el seguimiento».
Google Analytics no es el único servicio que es abusado por los actores de amenazas. Google Calendar, Photos, Drive, Storage y más también son herramientas comunes explotadas en phishing y spam.
Via: ZD Net
Bellum Mediarum 