investigadores de seguridad en NubeSEK han notado un aumento en el uso del servicio de túnel inverso y acortadores de URL en campañas de phishing. Los ciberdelincuentes utilizan servicios como bit.ly, Ngrok o LocalhostRun para evadir la detección y «lanzar campañas de phishing imposibles de rastrear», según los investigadores.
Las campañas de phishing pueden hacerse pasar por sitios web y servicios legítimos para robar datos de usuario, como contraseñas o números de tarjetas de crédito. Estos pueden estar alojados en dominios registrados, servicios de alojamiento web gratuitos o sitios web pirateados; todas estas opciones tienen en común que las eliminaciones son rápidas y sencillas, ya que normalmente basta con ponerse en contacto con el proveedor de alojamiento o el registrador para hacerlo. La mayoría de los proveedores de alojamiento ofrecen opciones de contacto directo para casos de abuso.
Los proveedores de alojamiento deben cooperar con las fuerzas del orden y eliminar los dominios y las páginas web que se utilizan en campañas de phishing. Los usuarios de Internet también pueden denunciar sitios web y páginas de phishing a los proveedores de alojamiento.
Los acortadores de URL, servicios que apuntan una dirección web a otra, se han utilizado en el pasado en campañas de phishing. Estos servicios se utilizan con fines legítimos, como convertir direcciones web largas en direcciones más cortas para recordar mejor las direcciones.
CloudSEK notó un aumento en el uso de servicios de acortamiento de URL y servicios de túnel inverso en campañas de phishing.
Los servicios de túnel inverso se utilizan a menudo en entornos de desarrollo local, ya que permiten a los clientes acceder a los sistemas informáticos locales en Internet. Algunos usuarios de Internet utilizan los servicios de túnel inverso para otros fines, incluido el alojamiento de servicios personales en la nube.
Los ciberdelincuentes usan estos servicios para alojar páginas de phishing en máquinas locales. Estas máquinas locales están bajo su control, ya sea directamente o mediante hackeos exitosos. Se pueden generar nuevas URL de redireccionamiento sobre la marcha, y es bastante fácil cambiar la dirección IP de las máquinas locales para disminuir la posibilidad de interrupciones de ataques causadas por el bloqueo de direcciones IP y nombres de dominio, o la eliminación de páginas web.
La combinación de servicios de acortamiento de URL y servicios de túnel inverso ofusca aún más los ataques. Los enlaces a menudo están activos durante 24 horas solo antes de que los actores de amenazas continúen; esto dificulta el bloqueo de campañas que utilizan estas técnicas.
Computadora local con contenido de phishing >> Servicio de túnel inverso >> Servicio de acortamiento de URL >> Ataques
Los operadores de túneles de reserva no tienen el mismo nivel de responsabilidad que los proveedores de alojamiento, según CloudSEK. La empresa analizó más de 500 sitios que estaban «alojados y distribuidos mediante servicios de túnel inverso y servicios de acortamiento de URL Ngrok, LocalhostRun, Try CloudFlare, Bit.ly, is.gd y cutt.ly.
Todo el proceso comienza con la creación de sitios y páginas de phishing. Parecen copias idénticas de sitios legítimos, a menudo sitios bancarios y otros sitios financieros, pero también se utilizan otros tipos de sitios. Los actores de amenazas pueden alojarlos en sus propias máquinas o en dispositivos pirateados.
Una vez que las páginas y la infraestructura de phishing se han creado y están en su lugar, entran en juego los servicios de túnel inverso. Estos proporcionan el enlace entre las máquinas locales e Internet. Los servicios de acortamiento de URL se utilizan para ofuscar aún más la campaña y dificultar aún más la detección.
Los enlaces de acortamiento de URL luego se distribuyen en campañas, por ejemplo, por correo electrónico, SMS, servicios de mensajería u otros medios. Las víctimas que acceden a estos enlaces cargan las páginas web alojadas localmente a través de la URL del servicio de tunelización inversa.
Los datos que las víctimas ingresan en los sitios web de phishing se capturan y se usan directamente o se venden en el mercado negro. Los atacantes pueden vaciar cuentas bancarias, usar tarjetas de crédito para compras en línea, incluido el registro de nuevos dominios y alojamiento, o vender información a granel en la dark web.
Los actores de amenazas actualizarán los enlaces regularmente, a menudo cada 24 horas, para continuar con los ataques. Las plantillas de phishing se reutilizan, ya que están alojadas en máquinas locales y no en Internet. Todo lo que se necesita es crear nuevos enlaces aleatorios usando cualquiera de los servicios enumerados, u otros, para usarlos en nuevos ataques. Los enlaces utilizados en ataques antiguos dan como resultado errores no encontrados, ya que ya no se puede acceder a las máquinas locales a través de ellos.
Si bien las páginas y direcciones antiguas pueden bloquearse, por ejemplo, cuando se informan a las empresas de seguridad o las autoridades, el contenido de phishing generalmente no se puede eliminar ya que está alojado en máquinas locales.
Los servicios de túnel inverso de Cloudflare, Localhost y Ngrok tienen en común que proporcionan enlaces a páginas web alojadas en máquinas locales.
El servicio Argo Tunnel de Cloudflare es de uso gratuito para los usuarios de Cloudflare. Ejecuta un proceso en la máquina local o en un servidor, que crea túneles de salida a la red de Cloudflare. Los servicios de túnel inverso de Localhost y Ngrok ofrecen una versión base gratuita y versiones extendidas de pago. El plan gratuito de Ngrok, por ejemplo, admite el uso de dominios aleatorios.
El servicio utiliza un túnel inverso seguro para «exponer servidores locales detrás de NAT y cortafuegos a la Internet pública». Se ejecuta un programa en la máquina local que establece el enlace a Internet.
Los tres servicios tienen en común que los utilizan tanto los desarrolladores web como los usuarios para conectar máquinas locales a Internet. Algunos pueden usar servicios de túnel inverso para acceder a servicios de nube personal desde cualquier lugar del mundo, otros para alojar sitios web u otros servicios.
Mitigación
CloudSek recomienda lo siguiente para mitigar los ataques de phishing que utilizan servicios de túnel inverso:
- Las organizaciones deben concienciar a los clientes sobre los dominios y URL legítimos; esto se aplica a todos los tipos de campañas de phishing, ya que todos alojan los sitios web de phishing en diferentes dominios. Si bien estos pueden parecer dominios auténticos, la inspección mostrará que no lo son.
- Los escaneos en tiempo real pueden ayudar a identificar dominios de phishing, especialmente si los escaneos buscan más que solo el nombre de dominio.
- Es necesario sensibilizar a los clientes sobre las URL maliciosas y el uso en campañas de phishing.
- Es necesario implementar políticas que «garanticen que los proveedores de servicios de túnel inverso» ayuden a eliminar los sitios de phishing.
La mejor forma de protección contra ataques maliciosos es la educación. Los usuarios de Internet deben evitar hacer clic en enlaces que apunten a objetivos de alto perfil, como sitios web bancarios o portales de compras en línea. Se puede acceder a estos sitios escribiendo los nombres de dominio manualmente o mediante el uso de marcadores en los dispositivos.
Ahora tu: ¿Con qué frecuencia te encuentras con ataques de phishing?