Phishing is evolueert gestaag door de jaren heen. Dientengevolge, cybercriminelen hebben geleerd om technische markers zoals browser identificatie exploiteren, geo-locaties en besturingssysteem granulaire targeting inschakelen.
Echter, Dit zijn niet de enige markers phishers zijn de laatste tijd met behulp van - om deze statistieken te evalueren, ze nodig hebben analysetools, zoals Google Analytics, om de benodigde informatie te verzamelen, een nieuw rapport Akamai zegt.
Google Analytics is de voorkeur van Phishing Operators
Met andere woorden, cybercriminelen die gespecialiseerd zijn in phishing-aanvallen, worden steeds beter in het gebruik te maken van een reeks technische markers in web analytics om hun aanvallen te verbeteren en ze zeer gerichte. Het lijkt erop dat Google Analytics is een analytics tool voorkeur zelfs door phishers.
Het is opmerkelijk dat "vandaag 56.1% van alle websites die Internet gebruiken web analytics, met Google Analytics komen als de toonaangevende platform. De meeste websites zijn met behulp van analytics voor het genereren van rapporten over het gedrag van gebruikers, bekeken pagina's, en hun reis via de site. Deze statistieken bieden ook gedetailleerde gebruiker technische statistieken, zoals type besturingssysteem, geo-locatie, browser type, etc."
Er is een reeks van bewijs dat aantoont dat cybercriminelen nu de goedkeuring van het gebruik van web analytics voor hun eigen doeleinden. Dat is niet zo verwonderlijk – phishers ook geïnteresseerd in het genereren van verkeer naar specifieke pagina's, en moet worden steeds beter in lokken potentiële slachtoffers te klikken op links. Er is geen betere manier om de efficiëntie te verbeteren dan het gebruik van analysetools?
Een interessante ontdekking is dat website-eigenaren die hun sites beschermen tegen phishing-pogingen kunnen phishers detecteren door middel van een techniek die bekend staat als unieke identificatie (UID), die wordt toegepast om gebruikers te identificeren. De UID bestaat uit twee delen - de unieke analytics netwerkaccount ID (XXXXX), en het uitzicht (eigendom) aantal.
Akamai gescand 62,627 actieve phishing URL waarvan 54,261 niet-blanco pagina's die behoren tot 28,906 unieke domeinen. We ontdekten 874 domeinen UID en 396 van de UID's waren uniek Google Analytics-accounts. Bovendien, 75 van de UID's werden gebruikt in meer dan een website.
De onderzoekers analyseerden de code van deze websites, en concludeerde dat de analytische identifiers’ aanwezigheid kan worden gerelateerd aan een van de volgende redenen:
1. Phishing-hergebruikte UID: Tijdens een poging om de originele website dupliceren, de ontwikkelaars gebruikt het kopiëren van hulpmiddelen zoals HTTrack of wget om de broncode te downloaden, hergebruik van de analytische ID geleverd met de originele code.
2. Phishing kit UID: Analytic IDs door het kader ontwikkelaar ingesteld om de beweging van het slachtoffer te controleren door middel van de phishing-website.
3. legitieme UID: Phishing-websites die werden sinkholed door de gerichte onderneming, nu omgeleid naar de originele website.
Deze resultaten hebben geleid tot de ontdekking van verschillende phishing campagnes, maar ook lijsten van nieuwe domeinen met dezelfde UID.
We moeten nog zien hoe phishing zal veranderen, zeker in een evoluerende, in 2020.