Los ‘ciber-delincuentes’ cambian constantemente las tácticas de sus ataques para impedir ser detenidos, y los investigadores de seguridad de GreatHorn han descubierto una nueva campaña de ‘phishing’ capaz de sobrepasar la protección tradicional de las URL.
Muchas estafas de ‘phishing’ implican cambiar las letras de la URL de una web popular para engañar a los usuarios y dirigirlos a páginas web falsas, pero esta nueva campaña cambia los símbolos que se utilizan en el prefijo que precede a la URL.
Las URL utilizadas en la campaña están mal formadas y no utilizan protocolos de URL normales como “http://” o “https://”. En su lugar, utilizan “http:/\” como prefijo de URL. Y como siempre se han utilizado dos puntos y dos barras diagonales en el formato de URL estándar, la mayoría de los usuarios ignoran automáticamente este factor.
- Una de las mejores formas de mantenerte protegido online es utilizando uno de los mejores servicios de VPN disponibles en 2021
Como resultado, los ciber-delincuentes detrás de esta nueva campaña se aseguran de que sus páginas de ‘phishing’ puedan traspasar muchos filtros y escáneres de correo para alcanzar sus objetivos previstos.
Ataques de prefijos mal formados
Según la nueva publicación original de blog del Equipo de Inteligencia de Amenazas de GreatHorn, estos ataques a través de prefijos mal formados surgieron por primera vez en octubre del año pasado y actuaron de forma efectiva hasta fin de año. De hecho, entre la primera semana de enero y principios de febrero, el número de ataques de phishing por correo electrónico que utilizan prefijos de URL mal formados aumentó en un gran 5’933%.
Si bien estos intentos de ‘phishing’ se han identificado en organizaciones de varias industrias, las organizaciones de industrias farmacéuticas, de préstamos, de construcción y de cable muestran una tasa más elevada. Además, las organizaciones que utilizan Office 365 fueron el objetivo claro de estos ataques, con una tasa mucho más alta que las que utilizan Google Workspace como su plataforma de correo electrónico en la nube.
En uno de estos ataques, identificado por GreatHorn, el correo electrónico de phishing conducía a una página web de destino falsa que era casi idéntica a una página de inicio de sesión de Microsoft Office. Si un usuario desprevenido intentase iniciar sesión en esa página, estaría proporcionando sus datos a dichos ciber- criminales, lo cual les daría acceso a sus listas de contactos de correo electrónico y otros datos confidenciales que podrían encontrarse en su almacenamiento en la nube.
Para evitar ser víctima de un ataque de URL con prefijo de formato incorrecto, GreatHorn recomienda que las organizaciones ofrezcan a sus empleados información sobre cómo detectar un prefijo de URL sospechoso. Sin embargo, al mismo tiempo, los equipos de seguridad deben buscar en el correo electrónico de su organización cualquier mensaje que contenga una URL que coincida con este patrón de amenaza para eliminarlo.
