En abril de 2020, la unidad de inteligencia y amenazas Unit 42 de Palo Alto Networks informaba sobre una gran afluencia de ataques de phishing relacionados con la COVID-19 desde febrero de 2020. Ahora que en marzo de 2021 se cumple el primer aniversario de la declaración de la COVID-19 como pandemia por parte de la Organización Mundial de la Salud, el equipo de investigación de Palo Alto Networks ha decidido revisar las tendencias de phishing observadas en los últimos meses para obtener una visión más profunda de los diversos temas que los atacantes podrían estar intentando explorar relacionados con el virus.
La investigación comenzó con el análisis de las URL de phishing detectadas a nivel mundial entre enero de 2020 y febrero de 2021. Una vez analizadas, se generaron grupos de palabras clave (o frases) específicas que sirviesen como indicadores para cada tema relacionado con COVID-19. A estos grupos se aplicó una concordancia que determinase con qué URL de phishing estaba relacionado cada tema. Para asegurarse de que las URL coincidentes estuvieran realmente relacionadas con la COVID, se verificaron de forma reiterada las URL resultantes y se refinaron estas palabras clave o frases para minimizar la incidencia de falsos positivos.
Tras este primer análisis se ha visto que, en cada paso del camino, los atacantes habían ido modificando las tácticas de ataque para adaptarse a las últimas tendencias pandémicas con la esperanza de mantener una sensación de urgencia en el tiempo que incrementaría la probabilidad de que las víctimas renunciasen finalmente a sus credenciales.
Así, los principales datos revelan que durante el mes de marzo de 2020 los ataques de phishing se centraron principalmente en equipos de protección personal (PPE) y kits de prueba. Por otro lado, desde el mes de abril hasta verano de 2020 se dieron en programas de ayudas del Gobierno (incluido un sitio web falso que se hizo pasar por la Comisión Federal de Comercio de EE.UU. para robar credenciales de usuarios). Finalmente, desde finales de otoño de 2020, el centro de los ataques han sido las vacunas (incluyendo un sitio web falso de Pfizer y BioNTech que tenía por objetivo robar credenciales de usuarios). Además, los datos destacan que los ataques de phishing relacionados con las vacunas aumentaron en un 530% desde diciembre de 2020 hasta febrero de 2021, y que los ataques de phishing relacionados con farmacias y hospitales o dirigidos a ellos, aumentaron en un 189% durante ese mismo período de tiempo.
El análisis también mostró que Microsoft era la marca más atacada por los atacantes. Por ejemplo, los atacantes crearon páginas falsas de Microsoft para robar credenciales de empleados de organizaciones como Walgreens (con sede en EE. UU.), Pharmascience (con sede en Canadá), Glenmark Pharmaceuticals (con sede en India) y Junshi Biosciences (con sede en China).
Teniendo esto en cuenta, se puede predecir que a medida que continúe el proceso de la vacunación, los ataques de phishing relacionados con la distribución de las vacunas, incluyendo los dirigidos a las industrias de la salud y las ciencias biológicas, seguirán aumentando en todo el mundo.
Los clientes de Palo Alto Networks Next-Generation Firewall están protegidos contra ataques de phishing con una variedad de servicios de seguridad, que incluyen filtrado de URL, seguridad DNS, prevención de amenazas y GlobalProtect.
Consejos para protegerse de los ataques de phishing
Además de estos servicios de seguridad, las mejores prácticas para protegerse como organización y usuario de los ataques de phishing según los expertos de la compañía incluyen:
Para individuos:
• Actuar con precaución al hacer clic en los enlaces o archivos adjuntos contenidos en correos electrónicos sospechosos, especialmente aquellos relacionados con la configuración de la cuenta o la información personal, o que intentan transmitir una sensación de urgencia.
• Verificar la dirección del remitente de cualquier correo electrónico sospechoso en su bandeja de entrada.
• Verificar dos veces la URL y el certificado de seguridad de cada sitio web antes de ingresar las credenciales de inicio de sesión.
• Informar de sospechas de intentos de phishing.
Para organizaciones:
• Implementar una programa formación de concienciación sobrede ciberseguridad para mejorar la capacidad de los empleados para identificar correos electrónicos fraudulentos.
• Hacer copias de seguridad periódicas de los datos de la organización como defensa contra los ataques de ransomware iniciados a través de correos electrónicos de phishing.
• Hacer cumplir la autenticación de múltiples factores en todos los inicios de sesión relacionados con la empresa como una capa adicional de seguridad.