Nuevas campañas de Phishing utilizan herramientas de análisis y métricas

Investigadores de Ciberseguridad de Akamai revelaron un estudio sobre cómo ciberdelincuentes están abusando de las plataformas de análisis de datos como Analytics para desarrollar campañas más certeras.

Los sitios web de análisis son una gran herramienta para el seguimiento del ROI, incluido el comportamiento del usuario, la navegación de la página y métricas técnicas. Ahora, los actores maliciosos también están utilizando estas herramientas para rastrear las métricas de las campañas de phishing.

Detalles como los navegadores, países y los sistemas operativos se recopilan a través de sitios web de análisis para modificar las campañas de suplantación de identidad (phishing) y así obtener mayores tasas de éxito.

Los investigadores de seguridad analizaron 62,627 URL de phishing activo que pertenecían a miles de dominios únicos, observando que los identificadores únicos en muchos dominios estaban vinculados a Google Analytics.

Si bien algunos dominios maliciosos tenían una ID de Google Analytics, probablemente para el seguimiento de las métricas, ciertos códigos de ID parecían ser robados de los dominios originales y reutilizados.

Además, los expertos en seguridad descubrieron una campaña de phishing dirigida a usuarios de LinkedIn entre abril y julio de este año, la cual utilizaba una identificación de una red de análisis que estaba relacionada con múltiples dominios de phishing que apuntaban a usuarios de LinkedIn.

«La campaña registró muchos dominios engañosos para atraer a sus víctimas, pero cada dominio albergaba una variación diferente del código fuente del kit de suplantación de identidad (phishing), lo que dificulta detectarlos a todos sin la identificación de Google», dicen los investigadores.

Usando las mismas herramientas de análisis para la defensa

La identificación de seguimiento de una campaña puede ser útil para los investigadores y expertos en seguridad para desmantelar campañas cerrando sitios web fraudulentos.

Una campaña dirigida a los inicios de sesión de AirBnB generó subdominios maliciosos para escapar de la detección. Pero todos estos subdominios usaron el mismo User ID, que fue obtenido de AirBnB. Esto ayudó a los investigadores a detectar y cerrar la campaña.

Google Analytics no es el único servicio que es abusado por los actores de amenazas. Google Calendar, Photos, Drive, Storage y más también son herramientas comunes explotadas en phishing y spam.