HPE entre los líderes de almacenamiento de Gartner
El phishing sigue siendo un método de ataque importante porque permite que los ciberdelincuentes se dirijan a personas a gran escala. Por lo general, los actores malintencionados distribuyen estafas de suplantación de identidad (phishing) simulando ser representantes de las compañías donde los usuarios tienen alguna cuenta.
Por: Tomas Trnka, Investigador en IA de Avast
Los sitios web de phishing pueden ser difíciles de identificar. Es por ello que en Avast, usamos inteligencia artificial (IA) para detectar fraudes de phishing y proteger a nuestros usuarios de malware y sitios maliciosos.
Para mejorar nuestras capacidades de detección de phishing, tuvimos que seguir la línea de pensamiento de un ciberdelincuente. El ciberdelincuente crea sitios web de phishing muy similares a los sitios legítimos para engañar exitosamente a las personas. Las similitudes visuales suelen ser suficientes para engañar a los usuarios para que ingresen sus credenciales y otros datos confidenciales solicitados por el sitio malicioso.
Aunque nuestros motores de detección marcan sitios de phishing basados en contenido HTML, los métodos más sofisticados utilizados por los ciberdelincuentes para crear sus páginas de phishing pueden evitar las detecciones de antivirus.
Detectando phishing con IA
La vida útil de la mayoría de los sitios de phishing es muy corta, demasiado corta para que los motores de búsqueda los indexen. Esto se refleja en la calificación de un dominio. La popularidad y el historial de un dominio también pueden ser indicadores iniciales de si una página es segura o maliciosa. Al analizar esto y comparar las características visuales del sitio, podemos decidir si el sitio web es limpio o malicioso.
El siguiente paso es verificar el diseño del sitio web. Probamos otro enfoque utilizando hashes de imágenes: un método para comprimir datos de imágenes enriquecidos en un espacio más pequeño (pero todavía expresivo), como un vector de tamaño fijo de bytes con una métrica simple. Estos métodos ayudan a transmitir las imágenes a nuestra inteligencia artificial al observar de manera muy detallada los píxeles particulares, así como los píxeles que los rodean,los píxeles elegidos por nuestro algoritmo son llamados puntos interesantes.
Un problema común con la detección de puntos interesantes en una imagen ocurre cuando una imagen contiene texto. Hay muchos degradados en el texto y las letras que, por diseño, crean muchos bordes. Cuando una imagen contiene muchas letras, hay muchos puntos interesantes en un área pequeña, que pueden resultar en falsos positivos, a pesar de la verificación espacial.
Por este motivo, creamos un software que puede clasificar los parches dentro de las imágenes y decidir si un parche contiene texto. En casos como este, nuestra IA evitaría usar los puntos del parche como parte del proceso de comparación.
Todo este procedimiento es automático, y el 99% de las veces reconocerá un sitio web de suplantación de identidad en menos de diez segundos, lo que a su vez nos permite bloquear ese sitio malicioso y proteger mejor a nuestros usuarios.
Sitios de phishing revelados
Los sitios de phishing han evolucionado enormemente a lo largo de los años para convertirse en falsificaciones convincentes. Algunos incluso usan HTTPS, dando a los usuarios una falsa sensación de seguridad cuando ven el candado verde.
Las fallas menores en un sitio web de phishing pueden parecer obvias cuando se ubican junto a una página legítima, pero no son tan notorias por sí mismas. Piense en la última vez que vio la página de inicio de sesión para un servicio que usa con frecuencia. Es probable que tenga dificultades para recordar todos los detalles, que es exactamente lo que los estafadores de phishing esperan cuando diseñan sus páginas.
¿Cómo se propaga la amenaza?
Históricamente, la forma más común de difundir sitios web de phishing ha sido a través de correos electrónicos de phishing, pero también se propagan a través de anuncios pagados que aparecen en los resultados de búsqueda. Otros vectores de ataque incluyen una técnica llamada clickbait. Los delincuentes cibernéticos suelen utilizar clickbait en las redes sociales al prometer algo, como un teléfono gratuito, para alentar a los usuarios a hacer clic en enlaces maliciosos.
¿Qué pasa cuando un phisher tiene éxito?
Como casi todos los ataques cibernéticos, el phishing se utiliza para obtener ganancias financieras. Cuando los usuarios entregan las credenciales de inicio de sesión a un sitio de phishing, los ciberdelincuentes pueden abusar de ellas de diferentes formas, según el tipo de sitio utilizado para phishing. Muchos ataques de phishing imitan a instituciones financieras como bancos o compañías como PayPal, que pueden generar importantes recompensas financieras para los ciberdelincuentes.
¿Cómo protegerse?
A lo largo de 2018, fuimos testigos de correos electrónicos maliciosos enviados desde cuentas comprometidas de MailChimp, estafas de extorsión sexual y campañas de phishing relacionadas con GDPR (Reglamento General de Protección de Datos) entre muchas otras. En el futuro, podemos esperar que los ataques de phishing aumenten en volumen y surjan nuevas técnicas para camuflar los esfuerzos de los ciberdelincuentes por robar datos confidenciales de los usuarios.
A continuación se incluye una breve lista de verificación que, si se sigue, ayudará a evitar que usted sea víctima de una de las formas más exitosas de ataque cibernético:
- En primer lugar, instale una solución antivirus en todos sus dispositivos, ya sea PC, móvil o Mac. El software antivirus actúa como una red de seguridad que protege a los usuarios en línea.
- No haga clic en los enlaces ni descargue archivos de correos electrónicos sospechosos. Evite responderles también, incluso si supuestamente provienen de alguien en quien confía. En su lugar, póngase en contacto con esas entidades a través de un canal separado y asegúrese de que el mensaje realmente proviene de ellas
- Introduzca directamente la URL de un sitio web en su navegador siempre que sea posible, para que termine visitando el sitio que desea visitar, en lugar de una versión falsa
- No confíe únicamente en el candado verde HTTPS. Si bien esto significa que la conexión está cifrada, el sitio aún podría ser falso. Los ciberdelincuentes cifran sus sitios de phishing para engañar aún más a los usuarios, por lo que es importante verificar que el sitio que está visitando sea el verdadero
