Badacze z firmy Kaspersky przeanalizowali cykl życia stron phishingowych i odkryli, że jedna trzecia z nich znika z internetu w ciągu jednego dnia. To oznacza, że pierwsze godziny życia strony phishingowej są najgroźniejsze dla użytkowników. To właśnie w tym czasie – zanim strona zostanie wykryta przez mechanizmy bezpieczeństwa i wprowadzona do baz danych – cyberprzestępcy najaktywniej rozprzestrzeniają odsyłacze phishingowe.
W badaniu przeanalizowano 5 307 przykładów stron phishingowych w okresie od 19 lipca do 2 sierpnia 2021 r. Znaczna część linków (1 784) do takich stron przestała być aktywna po pierwszym dniu monitorowania, a wiele stron zniknęło w ciągu pierwszych godzin. W rezultacie już po 13 godzinach od rozpoczęcia analizy jedna czwarta wszystkich stron była nieaktywna, a połowa nie przetrwała dłużej niż 94 godziny.
Strona phishingowa istnieje dopóty, dopóki nie zostanie zauważona i usunięta przez administratorów witryn. Nawet jeśli cyberprzestępcy korzystają z własnego serwera na zakupionej domenie, ale są podejrzewani o oszukańczą działalność, mogą zostać pozbawieni przez rejestratorów prawa do przechowywania danych w takim zasobie.
Z upływem każdej godziny nowa oszukańcza strona pojawia się w coraz większej liczbie antyphishingowych baz danych, co oznacza, że jest w stanie zwabić mniej potencjalnych ofiar. Ze względu na krótki okres życia takich stron atakującym zależy na jak najszybszym rozprzestrzenieniu prowadzących do nich odsyłaczy, tak aby dotrzeć do jak największej liczby potencjalnych ofiar w ciągu pierwszych godzin aktywności.
Cyberprzestępcy znacznie częściej tworzą nową stronę niż modyfikują już istniejącą. Ponadto w rzadkich przypadkach zmieniają stronę, aby uniemożliwić jej zablokowanie. Na przykład jeśli stosują jako przynętę wizerunek znanej marki, mogą zmienić ją na inną. Jednak większość stron zostaje zablokowana, zanim oszuści zdecydują się zmienić formę aktywności. Inna metoda polega na stworzeniu losowo wygenerowanych elementów kodu, które nie są widoczne dla użytkownika, jednak przez pewien czas uniemożliwiają mechanizmom bezpieczeństwa zablokowanie stron phishingowych. Technologie antyphishingowe firmy Kaspersky radzą sobie z takimi sztuczkami.
Przeprowadzone badanie nie tylko pomaga uaktualnić nasze bazy danych, ale może być również wykorzystane do poprawy reagowania na incydenty. Na przykład, jeśli organizacja jest celem ataku spamowego, w którym wykorzystywane są fałszywe linki, ważne jest odparcie takiego ataku w ciągu pierwszych godzin, ponieważ w tym czasie aktywność cyberprzestępców jest najskuteczniejsza. Z kolei użytkownicy powinni pamiętać, że jeśli otrzymają odsyłacz i będą mieć wątpliwości co do autentyczności strony, do której prowadzi, powinni zaczekać kilka godzin. W tym czasie nie tylko wzrośnie prawdopodobieństwo uwzględnienia odsyłacza w antyphishingowych bazach danych, ale również sama strona phishingowa może stać się nieaktywna. Użytkownicy naszych rozwiązań mogą mieć pewność, że są dobrze chronieni, ponieważ nie tylko przechwytujemy zasoby phishingowe, ale również prowadzimy badania, aby zrozumieć zachowanie cyberprzestępców i jeszcze lepiej odpierać ataki – powiedział Jegor Bubnow, badacz ds. cyberbezpieczeństwa w firmie Kaspersky.
Więcej informacji na temat cyklu życia stron phishngowych znajduje się na stronie https://r.kaspersky.pl/iJBmY.