Phishing tem vindo a evoluir de forma constante ao longo dos anos. Como um resultado, cibercriminosos aprenderam a explorar marcadores técnicos, tais como identificação do navegador, geo-localização e sistema operacional para permitir segmentação granular.
Contudo, estes não são os únicos marcadores que os phishers têm usado ultimamente - para avaliar essas métricas, eles precisam de ferramentas analíticas, como o Google Analytics, para reunir as informações necessárias, um novo relatório da Akamai diz.
O Google Analytics é preferido por operadores de phishing
Em outras palavras, cibercriminosos especializados em ataques de phishing, estão melhorando o aproveitamento de uma variedade de marcadores técnicos em análise da web para melhorar seus ataques e torná-los altamente direcionados. Parece que o Google Analytics é uma ferramenta de análise preferida até mesmo por phishers.
Vale ressaltar que “hoje 56.1% de todos os sites da Internet estão usando análise da web, com o Google Analytics chegando como a plataforma líder. A maioria dos sites está usando análises para gerar relatórios sobre o comportamento do usuário, visualizações de página, e sua jornada pelo site. Essas estatísticas também oferecem métricas técnicas detalhadas do usuário, como tipo de sistema operacional, geo-localização, tipo de navegador, etc.”
Há uma série de evidências que mostram que os cibercriminosos agora estão adotando o uso de análise da web para seus próprios fins. Isso não é muito surpreendente – os phishers também estão interessados em direcionar o tráfego para páginas específicas, e deve estar cada vez melhor em atrair vítimas em potencial para clicar em links. Qual a melhor maneira de melhorar a eficiência do que usar ferramentas de análise?
Uma descoberta interessante é que os proprietários de sites que protegem seus sites contra tentativas de phishing podem detectar phishers por meio de uma tecnologia conhecida como identificador exclusivo (UID), que é aplicado para identificar usuários. O UID contém duas partes - o ID exclusivo da conta da rede de análise (XXXXX), e a vista (propriedade) número.
Akamai verificado 62,627 URLs de phishing ativos dos quais 54,261 são páginas não em branco que pertencem a 28,906 domínios únicos. Nós descobrimos 874 domínios com UIDs e 396 dos UIDs eram contas exclusivas do Google Analytic. Além disso, 75 dos UIDs foram usados em mais de um site.
Os pesquisadores analisaram o código desses sites, e concluiu que os identificadores analíticos’ presença pode estar relacionada a um dos seguintes motivos:
1. Phishing reutilizou UID: Ao tentar duplicar o site original, os desenvolvedores usaram ferramentas de cópia como HTTrack ou wget para baixar o código-fonte, reutilizando o ID analítico enviado com o código original.
2. UID do kit de phishing: IDs analíticos definidos pelo desenvolvedor da estrutura para monitorar o movimento da vítima através do site de phishing.
3. UIDs legítimos: Sites de phishing que foram afundados pela empresa visada, agora redireciona para o site original.
Esses resultados levaram à descoberta de várias campanhas de phishing, bem como listas de novos domínios usando o mesmo UID.
Ainda estamos para ver como o phishing mudará, certamente em um padrão de evolução, no 2020.