Los investigadores advierten sobre los ataques de phishing basados ​​en túneles inversos en aumento

CloudSEK detectó un fuerte aumento en los ataques de phishing basados ​​en el alojamiento de túnel inverso, donde los actores de amenazas atraen a las personas para robar sus datos confidenciales.

Dado que los actores de amenazas alojan sitios de phishing en sus propios sistemas, eliminarlos es difícil. Además, se dice que están usando acortadores de URL para enmascarar sus enlaces de phishing maliciosos y han estado cambiando las URL rápidamente para evitar ser bloqueados. Aquí hay más sobre esto;

Índice de contenidos

    Túneles inversos y acortadores de URL

    Una campaña clásica de phishing comienza con un actor de amenazas que registra un dominio similar a una organización de renombre, crea páginas maliciosas basadas en él y las envía a sus objetivos para robar información u otros fines maliciosos.

    Estos ataques a menudo se pueden evitar informando al registrador de dominios y, en última instancia, eliminando el dominio, lo que obliga al actor de amenazas a desarrollar un plan similar desde el principio. Pero una técnica llamada tunelización inversa les permitiría alojar sitios en sus sistemas, evitando así el riesgo de eliminación por parte de terceros.

    Al usar este software de túnel inverso, los actores de amenazas pueden manejar todas las conexiones entrantes a un servidor local que alojaron en su sistema. ¡Cualquier información que obtienen las víctimas se envía y almacena directamente en el sistema del atacante!

    CloudSEK, empresa de protección de riesgos digitales, observado un aumento en las campañas de phishing basadas en tunelización inversa combinadas con servicios de acortamiento de URL.

    Los investigadores han detectado más de 500 sitios alojados y distribuidos de esta manera, con Ngrok, LocalhostRun y ​​Cloudflare's Argo popularmente utilizado para túneles inversos y bit.ly es.gd corte.ly utilizado para acortar URL.

    Los investigadores notaron que los actores de amenazas usan plataformas genéricas como WhatsApp, Telegram, correos electrónicos, mensajes de texto o páginas de redes sociales falsas para distribuir sus páginas de phishing y solicitar detalles confidenciales como detalles de cuentas bancarias, credenciales de inicio de sesión e información de contacto.

    Además, pueden cambiar el nombre de dominio todos los días y reciclar plantillas de página para evitar ser bloqueados. Dado que son difíciles de detener, los investigadores advierten al público que tenga cuidado al hacer clic en enlaces sospechosos y responder con datos confidenciales en cualquier momento.

    Relacionados

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada.

    Subir