El phishing de credenciales ha evolucionado en capacidad y complejidad en los últimos años. Esto se debe en gran medida a los avances en los kits de phishing. Los usuarios ya no pueden detectar fácilmente las páginas de phishing de credenciales buscando errores tipográficos o comprobando simplemente la «casilla verde» en la barra de direcciones del navegador para saber que están a salvo. Los cibercriminales ya no tienen que clonar sitios web y crear sus propios kits, sino que pueden comprarlos en la web abierta por un precio similar al de un café con leche.
Los investigadores de Proofpoint han observado esta evolución, desde que los cibercriminales enviaban miles de correos electrónicos con la esperanza de que alguien, en algún lugar, hiciera clic en un enlace, hasta los ataques centrados en los portales de acceso de empleados a sus recursos empresariales. Estos ataques se basan en kits de phishing que pueden llegar dinámicamente y coger el logotipo y el nombre de dominio de correo electrónico de su objetivo, creando páginas de phishing personalizadas que son difíciles de distinguir de los sitios de inicio de sesión legítimos.
Los kits de phishing también pueden recopilar tokens de autenticación Oauth y multifactor (MFA) en tiempo real, enviándolos a los ciberdelincuentes para que los utilicen antes de que caduquen. Los kits de phishing emplean métodos capaces de impedir que los investigadores descubran el phishing y poder tener así el primer punto de apoyo que necesitan para entrar en una organización.
Anatomía de un kit de Phishing
Los kits de phishing son simplemente una colección de archivos (a menudo HTML, CSS y PHP) que funcionan juntos para ofrecer una apariencia convincente de que son el sitio real en el que la víctima potencial quiere iniciar sesión, y que mientras tanto traza el perfil de la víctima y realiza la recopilación y extracción de credenciales sus datos de acceso.
Estos son los pasos típicos de un kit de phishing:
Bloqueadores: Los autores de phishing quieren que sus páginas estén activas el mayor tiempo posible. Lleva tiempo y esfuerzo comprometer, desplegar y gestionar un kit de phishing. Cuanto más tiempo puedan permanecer sin ser detectados, mejor. Y por eso despliegan bloqueadores, un script php que se carga junto con la página de destino y realiza comprobaciones sencillas para intentar bloquear el trabajo de investigadores, motores de búsqueda y servicios de protección y que no puedan detectar las páginas. Los bloqueadores suelen redirigir a un sitio web legítimo o devolver una página 404 en lugar de la página de destino del kit.
Los cibercriminales aprovechan muchos atributos diferentes para bloquear las conexiones. Las técnicas más comunes comparan las direcciones IP de los visitantes, los agentes de usuario y las zonas DNS inversas con las listas de bloqueo incluidas en el kit. Las técnicas más avanzadas implementan geofencing y CAPTCHAs para complicar aún más los esfuerzos defensivos.
Otro método con el que los kits tratan de frustrar a los investigadores es permitir sólo un cierto número de cargas de página por IP antes de mostrar una página 404 y fingir que se ha caído.
Perfil de la víctima: Muchas organizaciones utilizan más que el nombre de usuario, la contraseña y los tokens MFA para identificar a un usuario legítimo. Estas organizaciones también se fijan en el idioma del navegador, el agente de usuario del navegador, la GeoIP del visitante e incluso la resolución de la pantalla del usuario. Aprovechando estos patrones de comportamiento, las organizaciones pueden intentar garantizar que el usuario real es quien está iniciando la sesión realmente. Para evitarlo, algunos kits también cuentan con una colección de estos parámetros, que luego empaquetan y venden junto con las credenciales de inicio de sesión en el mercado negro. Algunos llegan a incluir una VPN o un proxy que está dentro de la misma área geográfica que la dirección IP real de la víctima cuando venden credenciales robadas de alto valor.
Página de inicio: La landing page de un kit de phishing ofrece a la víctima un lugar donde introducir sus credenciales. El tema y la marca suelen coincidir con los del servicio objetivo del ataque y el gancho utilizado en el mensaje de phishing, y los kits de phishing más recientes incorporan elementos de branding dinámico. En ellas, los ciberdelincuentes utilizan técnicas de superposición para recopilar sólo el nombre de usuario o tanto el nombre de usuario como la contraseña del mismo. Muchos kits mostrarán siempre que la contraseña es incorrecta y luego pedirán las credenciales de nuevo, independientemente de la información que haya introducido el usuario. Esto reduce el número de contraseñas mal escritas y permite a los ciberdelincuentes recoger los datos una segunda vez para poder asegurarse de que las credenciales robadas son correctas. Habitualmente, los ciberdelincuentes utilizan estas páginas también para robar credenciales MFA, normalmente después de recoger el nombre de usuario y la contraseña. En algunos equipos, el token MFA se envía en tiempo real dentro de los canales controlados por los ciberdelincuentes para que pueda utilizarse ese token MFA antes de que expire.
Recopilación de credenciales: En cuanto la víctima rellena sus credenciales y pulsa «enter» o hace clic en el botón de inicio de sesión, sus datos se envían al ciberdelincuente. Esto ocurre dos veces en los kits que incluyen una página falsa de «fallo de inicio de sesión». Algunos kits de phishing recopilan información adicional, como números de tarjetas de crédito, direcciones de facturación u otra información personal identificable del usuario. Una característica destacada de estos kits es que suelen enviar la información cada vez que terminan una acción, lo que asegura recopilar tanta información como sea posible, incluso si la víctima reconoce que está siendo objeto de phishing antes de revelar toda la información deseada.
Los kits avanzados se están adaptando al creciente uso de la autenticación multi-factor (MFA). Los kits entregan credenciales cosechadas y tokens MFA a los atacantes casi en tiempo real a través de servicios de mensajería como Telegram, permitiendo a los ciberdelincuentes utilizar estos tokens para completar la autenticación.
“Página de confianza”: Esta página, que no viene con todos los kits, está diseñada para hacer creer a la víctima que ha completado la tarea requerida y que ahora todo está bien; aunque, en esencia, ha sido víctima de un intento de phishing y ha revelado toda la información al ciberdelincuente. Al reducir las sospechas de la víctima, el atacante tiene más tiempo para utilizar la información robada antes de que el objetivo sospeche o se dé cuenta.
Redirección: Otra característica habitual de los kits es la página de redirección. Después de robar toda la información de la víctima, se la redirige a la página de inicio de sesión del sitio legítimo. De nuevo, se busca aumentar la confianza del usuario en que ha realizado una tarea requerida y reducir sus sospechas.
Dónde y por cuánto se puede comprar un kit the phishing
Los kits se venden, se roban, se revenden, se reutilizan y se comercializan de muchas maneras. Pueden comprarse tanto en la web como en mercados clandestinos y canales de Telegram. Los kits se actualizan con regularidad para que se ajusten mejor a la página de inicio de sesión de las marcas reales que están falsificando, pero muchos se reutilizan durante años con pequeños cambios en sus gráficos y formato.
Esto sucede especialmente en el caso de los kits robados y reutilizados. Muchos de estos kits contienen código heredado, gráficos y otros componentes de usos anteriores que se dejan porque el creador del kit no tiene los conocimientos necesarios para utilizar sólo los componentes críticos o simplemente no está interesado en un kit «limpio» y sólo quiere algo que funcione.
Uno de los mayores proveedores de kits de phishing en la red de superficie es FudTools, también conocido como Saim Raza. Este grupo no sólo vende kits, sino que también ofrece un chat en tiempo real de atención al cliente, así como tutoriales en vídeo en YouTube para ayudar a garantizar la satisfacción de sus clientes.
Existe una amplia gama de precios en los kits de phishing, dependiendo de su complejidad y de las marcas que utilicen. Algunos kits están disponibles de forma gratuita, ya que son robados y compartidos en foros u otras páginas web, o incluso utilizados por otros ciberdelincuentes porque el autor del phishing original dejó el kit comprimido en un directorio abierto en una de sus páginas de phishing. Un kit de correo web sencillo y genérico cuesta entre 10 y 25 dólares y puede desplegarse en tantos sitios como el atacante pueda comprar o comprometer. Otros kits más complicados, que recogen más datos, utilizan una marca más específica o tienen otras características más avanzadas pueden costar entre 50 y varios cientos de dólares.