Phishing har udviklet sig støt gennem årene. Som et resultat, cyberkriminelle har lært at udnytte tekniske markører såsom browser identifikation, geo-steder og operativsystem for at gøre det muligt for detaljeret målretning.
Men, disse er ikke de eneste markører phishere har brugt det seneste - at evaluere disse målinger, de har brug for analyseværktøjer, som Google Analytics, at indsamle de nødvendige oplysninger, en ny Akamai Rapporten siger.
Google Analytics foretrækkes af phishing Operatører
Med andre ord, cyberkriminelle, der specialiserer sig i phishing-angreb, bliver bedre til at udnytte en række tekniske markører i webanalyse for at forbedre deres angreb og gøre dem meget målrettet. Det ser ud til, at Google Analytics er en foretrukken analyseværktøj selv af phishere.
Det er bemærkelsesværdigt, at ”i dag 56.1% af alle internetbrugere hjemmesider bruger web analytics, med Google Analytics kommer ind som den førende platform. De fleste hjemmesider bruger analytics til at generere rapporter om brugeradfærd, sidevisninger, og deres rejse gennem webstedet. Disse statistikker tilbyder også detaljeret bruger tekniske parametre såsom OS typen, geo-placering, browsertype, etc."
Der er en række beviser for, at cyberkriminelle nu er ved at vedtage brugen af webanalyse til deres egne formål. Dette er ikke så overraskende – phishere er også interesseret i at drive trafik til bestemte sider, og bør være at få bedre i lokke potentielle ofre til at klikke på links. Hvilken bedre måde at forbedre effektiviteten end at bruge analyseværktøjer?
En interessant opdagelse er, at webstedsejere, der beskytter deres websteder mod phishing forsøg kan registrere phishere via en teknologi kaldet entydig identifikator (UID), som anvendes til at identificere brugere. Den UID indeholder to dele - den unikke analytics netværk konto-id (XXXXX), og visningen (ejendom) nummer.
Akamai scannet 62,627 aktive phishing URLs hvoraf 54,261 er ikke-blanke sider, der hører til 28,906 unikke domæner. Vi opdagede 874 domæner med UID'er og 396 af UID'er var unikke Google Analytics-konti. Desuden, 75 af UID'er blev brugt i mere end ét websted.
Forskerne analyserede koden for disse hjemmesider, og konkluderede, at de analytiske identifikatorer’ tilstedeværelse kunne være relateret til en af følgende årsager:
1. Phishing genbruges UID: Under forsøget på at kopiere den oprindelige hjemmeside, udviklerne brugte kopiere værktøjer såsom HTTrack eller wget til at hente kildekoden, genbruge den analytiske id leveres med det originale kode.
2. Phishing kit UID: Analytiske ID'er fastsat af rammen bygherren at overvåge ofrets bevægelse gennem phishing-websted.
3. legitime UID'er: Phishing-websteder, der blev sinkholed af målrettet selskab, nu omdirigerer til den oprindelige hjemmeside.
Disse resultater førte til opdagelsen af forskellige phishing kampagner samt lister over nye domæner ved hjælp af den samme UID.
Vi er endnu at se, hvordan phishing vil ændre sig, helt sikkert i en udviklende mønster, i 2020.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: