Masiva venta de Kits de phishing en foro de cibercriminales

Miembro de un foro de cibercriminales tiene en venta más de 1.300 kits de phishing, la colección completa tiene un valor de US$ 30.000, y cubre sitios web, bancos y organizaciones financieras de primer nivel.

Con un precio de US$ 25 por kit de phishing, el vendedor está buscando ganar al menos US$ 32.500 por la venta del caché completo.

Según el anuncio, los kits de phishing (PHP, HTML, CSS, JavaScript) son únicos y el tamaño de todo el caché comprimido es de 3.3GB.

La lista cubre servicios de alto valor como PayPal, Dropbox, Amazon, OneDrive, Office 365, Outlook, Gmail, Spotify, Netflix, Bank of America, Chase, Wells Fargo, First Bank, Apple, Facebook, LinkedIn.

De acuerdo con una investigación por parte del equipo de seguridad de Bank Security, especializado en amenazas bancarias y fraude, el 90% de los kits a la venta fue recopilado utilizando scripts creados específicamente para la caza de phishing.

La lista de archivos cuenta con phishing como 16Shop para cuentas de Apple y Amazon, que está disponible comercialmente y viene con soporte para al menos 10 idiomas. Otro kit de phishing XaouFi, que se centra en las cuentas de PayPal.

Además, la mayoría de los inicios de sesión de correo web están cubiertos, específicamente las versiones de CPanel, Zimbra y Microsoft Outlook OVA.

Si bien la mayoría de los kits pueden recopilarse de manera personal, según la publicación del vendedor, algunos de ellos todavía tienen la dirección de correo electrónico del ciberdelincuente, en algunos casos, los archivos están disponibles públicamente o tienen entradas dobles.

A US$25 cada uno, el precio está lejos de ser elevado, lo que puede indicar que los kits no son de la mejor calidad. En 2019, los kits de phishing se vendieron en promedio por US$ 304, el precio más bajo es de US$20 y los más caros tienen un precio de US$880, según un informe del Grupo
IB a mediados de abril.

La analista de seguridad del CSIRT, Paula Moraga, agrega que »la gente ignora la simpleza con la que se pueden obtener y lanzar estos kits, ya que son bastante baratos y fáciles de ejecutar, y creo que esta «ignorancia» es muy peligrosa ya que en la seguridad informática, aprovecharse de la confianza de las personas es la forma más fácil de realizar un ataque, por lo que si la gente no toma conciencia de lo inminente que es recibir un correo Phishing, siempre será un buen negocio este mercado de Phishing kits.

Phishing en Chile

El encargado del programa de concientización en Ciberseguridad de Nivel4, Augusto Oporto, destaca que siempre está ese impulso natural por querer hacer click cuando recibimos una oferta o un mensaje alarmante, pero que a través de campañas de concientización se ha logrado instaurar la alerta sobre los emails fraudulentos, »de acuerdo a nuestras cifras sobre Phishing en organizaciones, el promedio de apertura de correos maliciosos es de un 42%, pero solo un 12% ingresa datos».

Las campañas electrónicas fraudulentas en Chile sufrieron un aumento sustancial este último año, tal como afirma la analista del CSIRT »los ataques de phishing y el registro de sitios fraudulentos en el país han tendido a aumentar desde el estallido social, ya que, por ejemplo cuando el gobierno habla de bonos y créditos, los atacantes inmediatamente generan sitios para engañar a posibles beneficiarios de estos».

Datos correspondientes al periodo jun 2019 – jun 2020 | CSIRT Gob Chile

Luego, debido a la pandemia se intensificó la cantidad de ciberataques utilizando como temática el coronavirus, »se han creado muchos sitios de venta de mascarillas y alcohol gel falsos, y se han generado muchas denuncias de estafa en el comercio electrónico con relación al COVID-19. Estos últimos días he notado hasta la creación de dominios con relación a pensiones y fondos… si se aprueba lo del 10% de las pensiones, los ataques seguramente van a subir mucho».

¿Cómo reducir la cantidad de víctimas de ataques de phishing?

Es fundamental poner a prueba a las personas, »si se trata de un entorno laboral es indispensable contar con una estrategia de ciberseguridad que abarque diferentes vértices, las pruebas de phishing internas y la concientización sobre riesgos cibernéticos deben formar parte de esa matriz, ya que ayuda al usuario a comprender de mejor manera la anatomía de estos ataques y qué acciones tomar a tiempo oportuno», concluye Augusto.

Conoce cómo nuestros especialistas te pueden ayudar agendando una simulación de Phishing.