Niebezpieczne, ale krótkotrwałe: jedna trzecia stron phishingowych przestaje być aktywna już po jednym dniu

Badacze z firmy Kaspersky przeanalizowali cykl życia stron phishingowych i odkryli, że jedna trzecia z nich znika z internetu w ciągu jednego dnia. To oznacza, że pierwsze godziny życia strony phishingowej są najgroźniejsze dla użytkowników. To właśnie w tym czasie - zanim strona zostanie wykryta przez mechanizmy bezpieczeństwa i wprowadzona do baz danych - cyberprzestępcy najaktywniej rozprzestrzeniają odsyłacze phishingowe.


W badaniu przeanalizowano 5 307 przykładów stron phishingowych w okresie od 19 lipca do 2 sierpnia 2021 r. Znaczna część linków (1 784) do takich stron przestała być aktywna po pierwszym dniu monitorowania, a wiele stron zniknęło w ciągu pierwszych godzin. W rezultacie już po 13 godzinach od rozpoczęcia analizy jedna czwarta wszystkich stron była nieaktywna, a połowa nie przetrwała dłużej niż 94 godziny.

Strona phishingowa istnieje dopóty, dopóki nie zostanie zauważona i usunięta przez administratorów witryn. Nawet jeśli cyberprzestępcy korzystają z własnego serwera na zakupionej domenie, ale są podejrzewani o oszukańczą działalność, mogą zostać pozbawieni przez rejestratorów prawa do przechowywania danych w takim zasobie.

Z upływem każdej godziny nowa oszukańcza strona pojawia się w coraz większej liczbie antyphishingowych baz danych, co oznacza, że jest w stanie zwabić mniej potencjalnych ofiar. Ze względu na krótki okres życia takich stron atakującym zależy na jak najszybszym rozprzestrzenieniu prowadzących do nich odsyłaczy, tak aby dotrzeć do jak największej liczby potencjalnych ofiar w ciągu pierwszych godzin aktywności.

Cyberprzestępcy znacznie częściej tworzą nową stronę niż modyfikują już istniejącą. Ponadto w rzadkich przypadkach zmieniają stronę, aby uniemożliwić jej zablokowanie. Na przykład jeśli stosują jako przynętę wizerunek znanej marki, mogą zmienić ją na inną. Jednak większość stron zostaje zablokowana, zanim oszuści zdecydują się zmienić formę aktywności. Inna metoda polega na stworzeniu losowo wygenerowanych elementów kodu, które nie są widoczne dla użytkownika, jednak przez pewien czas uniemożliwiają mechanizmom bezpieczeństwa zablokowanie stron phishingowych. Technologie antyphishingowe firmy Kaspersky radzą sobie z takimi sztuczkami.

Przeprowadzone badanie nie tylko pomaga uaktualnić nasze bazy danych, ale może być również wykorzystane do poprawy reagowania na incydenty. Na przykład, jeśli organizacja jest celem ataku spamowego, w którym wykorzystywane są fałszywe linki, ważne jest odparcie takiego ataku w ciągu pierwszych godzin, ponieważ w tym czasie aktywność cyberprzestępców jest najskuteczniejsza. Z kolei użytkownicy powinni pamiętać, że jeśli otrzymają odsyłacz i będą mieć wątpliwości co do autentyczności strony, do której prowadzi, powinni zaczekać kilka godzin. W tym czasie nie tylko wzrośnie prawdopodobieństwo uwzględnienia odsyłacza w antyphishingowych bazach danych, ale również sama strona phishingowa może stać się nieaktywna. Użytkownicy naszych rozwiązań mogą mieć pewność, że są dobrze chronieni, ponieważ nie tylko przechwytujemy zasoby phishingowe, ale również prowadzimy badania, aby zrozumieć zachowanie cyberprzestępców i jeszcze lepiej odpierać ataki - powiedział Jegor Bubnow, badacz ds. cyberbezpieczeństwa w firmie Kaspersky.

Więcej informacji na temat cyklu życia stron phishngowych znajduje się na stronie https://r.kaspersky.pl/iJBmY.

Porady bezpieczeństwa

Eksperci z firmy Kaspersky przygotowali kilka porad pozwalających uchronić się przed phishingiem.

Porady dla użytkowników domowych:

  • Unikaj logowania się do bankowości online i podobnych usług za pośrednictwem publicznych sieci Wi-Fi. Hotspoty są niewątpliwie wygodną opcją, jednak lepiej korzystać z zabezpieczonej sieci. Otwarte sieci mogą być tworzone przez przestępców, którzy mogą, między innymi, fałszować adresy stron internetowych, a tym samym przekierowywać na fałszywe strony.
  • Niekiedy fałszywe wiadomości e-mail oraz strony internetowe do złudzenia przypominają oryginały. Wszystko zależy od tego, jak bardzo postarali się przestępcy. Jednak zawarte w nich hiperłącza będą prawdopodobnie niepoprawne - będą zawierały literówki lub przekierowywały na inne strony. Zanim wpiszesz jakiekolwiek dane na stronie, upewnij się, że jest autentyczna.
  • Zainstaluj godne zaufania rozwiązanie bezpieczeństwa i postępuj zgodnie z jego zaleceniami. Takie rozwiązanie automatycznie rozwiąże większość problemów, a w razie konieczności powiadomi Cię o zagrożeniu lub konieczności wykonania pewnych działań.
Porady dla firm:

  • Zadbaj o podstawowe szkolenie w zakresie higieny cyberbezpieczeństwa dla pracowników. Przeprowadź symulację ataku, aby sprawdzić, czy personel potrafi rozpoznawać wiadomości phishingowe.
  • Stosuj rozwiązanie zabezpieczające punkty końcowe oraz serwery pocztowe z możliwością ochrony przed phishingiem, takie jak np. Kaspersky Endpoint Security for Business, w celu zmniejszenia ryzyka infekcji.
  • Jeśli korzystasz z usługi w chmurze Microsoft 365, nie zapomnij o zabezpieczeniu jej. Kaspersky Security for Microsoft Office 365 oferuje wyspecjalizowaną ochronę przed spamem oraz phishingiem, jak również ochronę dla aplikacji SharePoint, Teams oraz OneDrive w celu zapewnienia bezpiecznej komunikacji biznesowej.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.

Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.