Principais 50.000 detecções de páginas de login falsas em 2020

De acordo com a pesquisa da  Ironscales , páginas de login falsas são comumente usadas para apoiar hacks e campanhas de spear-phishing, e seus pesquisadores descobriram que mais de 200 das marcas mais proeminentes do mundo foram falsificadas com páginas de login falsas.

Ele também descobriu que quase 5% (2500) das mais de 50.000 páginas de login falsas eram polimórficas, com um login falso capaz de representar mais de 300 páginas de login diferentes.

Brendan Roddas, da Ironscales, explicou que o polimorfismo ocorre quando um invasor implementa “alterações leves, mas significativas e frequentemente aleatórias nos artefatos de um e-mail, como seu conteúdo, cópia, linha de assunto, nome do remetente ou modelo em conjunto com ou após a implantação de um ataque inicial. ”

Isso permite que os invasores desenvolvam rapidamente ataques de phishing que enganam as ferramentas de segurança de e-mail baseadas em assinaturas que não foram desenvolvidas para reconhecer essas modificações nas ameaças, permitindo que versões diferentes do mesmo ataque sejam detectadas nas caixas de entrada dos funcionários. Nesta pesquisa, a Microsoft e o Facebook lideraram a lista com 314 e 160 permutações, respectivamente.

A pesquisa também determinou que a marca com o maior número de páginas de login falsas era PayPal com 11.000, seguida pela Microsoft com 9.500 e Facebook com 7.000.

Ironscales disse que os destinatários mais comuns de e-mails de páginas de login falsas trabalham nos setores de serviços financeiros, saúde e tecnologia, bem como em agências governamentais.

Comentando, Chris Hauk, campeão de privacidade do consumidor na Pixel Privacy , disse: “Vemos páginas de login falsas sendo usadas por um bom motivo: elas funcionam. Enquanto os usuários caírem nesse truque, os malfeitores do mundo continuarão a usá-los.

“Talvez a melhor maneira de combater essas páginas de login falsas seja educar melhor os usuários sobre os perigos de tais páginas e como identificar melhor quando uma página de login falsa está sendo visitada. Também sugiro o uso de utilitários que podem identificar essas páginas, como Ironscales URL e scanner de link. ” 

Niamh Muldoon, diretor sênior de confiança e segurança da OneLogin , destacou as principais razões pelas quais os logins falsos funcionam: em primeiro lugar, ainda há uma grande falta de educação, treinamento e conscientização sobre segurança cibernética entre a comunidade de usuários finais da Internet em todo o mundo. “Essa lacuna no conhecimento do usuário final cresceu significativamente nos últimos seis meses com a pandemia”, disse ela. “Embora tenhamos pedido ao público para virar suas vidas e transferi-lo online para ajudá-los a manter o distanciamento social e mantê-los fisicamente seguros, muitos não têm o conhecimento para se manter ciber-seguros.”

Em segundo lugar, há uma falta de governança associada à criação de sites, registro de domínio e gerenciamento associado. Ela disse: “Isso inclui verificar a integridade de sites e / ou domínios de maneira proativa. Embora existam procedimentos e processos claros para retirar sites e domínios onde contenham malware e / ou não sejam legítimos, esses processos são extremamente demorados, resultando na exposição dos usuários finais no tempo entre o aparecimento das páginas falsas e os domínios e IPs sendo colocados na lista negra ou removidos. ”

No entanto, ela disse que “os líderes de plataforma de confiança e segurança neste campo estão tornando o cenário de ameaças mais difícil de atravessar para invasores mal-intencionados, por meio de mensagens inteligentes de consciência de segurança em páginas de login legítimas”. Ela recomendou a parceria com um parceiro de identidade confiável que fornece autenticação multifatorial para reduzir o risco de comprometimento da conta por meio dessas páginas / sites de login falsos. “Em última análise, uma força-tarefa global e colaboração internacional são necessárias para implementar regulamentações associadas ao registro e gerenciamento de domínios e sites, para impedir que esses sites apareçam em primeiro lugar”, acrescentou ela.

Hugo van der Toorn, gerente de segurança ofensiva da Outpost24 , disse que não se trata de ataques direcionados contra sua empresa, mas dos nomes, marcas registradas e reconhecimento geral das marcas que são usados ​​para atingir determinados objetivos. “Como organizações, precisamos facilitar a comunicação rápida e o acompanhamento de tentativas de phishing que infringem nossas marcas e ameaçam nossos clientes e, em última instância, nossa reputação. Depois de receber uma tentativa de phishing identificada positivamente, precisamos ser capazes de emitir um aviso e de remoção e, em poucas horas, encerrar esta campanha de phishing ”, disse ele.

“Não se trata de impedir todos os funcionários de phishing e treinamento até que ninguém clique. É uma questão de responder com rapidez e adequação em nome das pessoas que reconhecem e relatam essas tentativas de phishing. ”