Ερευνητές από την Google, τη Samsung, την PayPal και το κρατικό πανεπιστήμιο της Αριζόνα επί ένα ολόκληρο έτος εξέταζαν κι ανέλυαν το τοπίο των απειλών που συνδέονται με phishing επιθέσεις, καθώς και τον τρόπο με τον οποίο οι χρήστες αλληλεπιδρούν με τις phishing σελίδες. Αναλύοντας 22.553.707 επισκέψεις χρηστών σε 404.628 phishing σελίδες, οι ερευνητές συγκέντρωσαν πολλές πληροφορίες σχετικά με τον τρόπο λειτουργίας των phishing εκστρατειών.
Συγκεκριμένα, από τα ευρήματά τους οι ερευνητές διαπίστωσαν ότι μία phishing επίθεση διαρκεί, κατά μέσο όρο, 21 ώρες, από το πρώτο μέχρι το τελευταίο θύμα που επισκέπτεται μία σελίδα, ενώ ο εντοπισμός κάθε phishing επίθεσης από οντότητες πραγματοποιείται κατά μέσο όρο 9 ώρες μετά την επίσκεψη του πρώτου θύματος. Οι ερευνητές θα παρουσιάσουν πιο αναλυτικά τα ευρήματά τους στη διάσκεψη ασφαλείας USENIX που θα πραγματοποιηθεί 12 – 14 Αυγούστου.
Μετά τον εντοπισμό τους, παρέμεναν άλλες 7 ώρες πριν από τον μέγιστο μετριασμό από browser-based προειδοποιήσεις. Οι ερευνητές χαρακτηρίζουν το διάστημα μεταξύ της έναρξης της εκστρατείας και της ανάπτυξης προειδοποιήσεων για phishing στους browsers ως τις “χρυσές ώρες” μιας phishing επίθεσης – κατά τις οποίες οι επιτιθέμενοι προσελκύουν τα περισσότερα από τα θύματά τους. Όμως, όταν τελειώσουν οι “χρυσές ώρες”, οι επιθέσεις συνεχίζουν να αυξάνουν τα θύματά τους, ακόμη και μετά την προειδοποίηση του browser μέσω συστημάτων όπως το API Ασφαλούς περιήγησης της Google. Ανησυχία προκαλεί το γεγονός ότι το 37,73% της συνολικής κίνησης των θυμάτων εντός του συνόλου δεδομένων που συγκέντρωσαν οι ερευνητές, πραγματοποιήθηκε μετά τον εντοπισμό της επίθεσης.
Επιπλέον, οι ερευνητές ανέλυσαν τις αλληλεπιδράσεις των χρηστών με τις phishing σελίδες και ανέφεραν ότι το 7,42% των θυμάτων εισήγαγε credentials στις φόρμες phishing και τελικά υπέστη παραβίαση ή παρατήρησε ότι πραγματοποιήθηκε “δόλια” συναλλαγή στον λογαριασμό του. Κατά μέσο όρο, οι απατεώνες προσπαθούσαν να παραβιάσουν λογαριασμούς χρηστών και να πραγματοποιήσουν “δόλιες” συναλλαγές 5,19 ημέρες, αφότου ο χρήστης επισκεπτόταν το phishing site, ενώ τα credentials των θυμάτων κατέληγαν σε δημόσια dumps ή σε εγκληματικά portals, 6,92 ημέρες μετά την επίσκεψη του χρήστη στη phishing σελίδα.
Τα ευρήματα της έρευνας αντιστοιχούν σε όσα είχε αναφέρει η Sherrod DeGrippo, Sr. Director, Threat Research and Detection στην Proofpoint, στο ZDNet. Ειδικότερα, η DeGrippo δήλωσε ότι η Proofpoint εντοπίζει περίπου 12 εκατομμύρια phishing επιθέσεις κάθε μήνα, ενώ οι καλύτεροι κυβερνοεγκληματίες επικεντρώνονται στις τακτικές αποφυγής για να αποφύγουν τον εντοπισμό, γνωρίζοντας ότι με αυτόν τον τρόπο θα μπορέσουν να κρατήσουν “ενεργές” τις εκστρατείες τους για μεγαλύτερο χρονικό διάστημα και θα παρατείνουν τις “χρυσές ώρες”.
Η ερευνητική ομάδα του κρατικού πανεπιστημίου της Αριζόνα ανέφερε πως η επιτυχία αυτών των επιθέσεων οφείλεται σε μεγάλο βαθμό στην αργή ανίχνευσή τους από τους αμυντικούς μηχανισμούς. Επιπλέον, οι ερευνητές πρόσθεσαν πως και η έλλειψη της συνεργασίας μεταξύ των βιομηχανικών εταίρων είναι ένας ακόμη παράγοντας που συμβάλλει στην επιτυχία των επιθέσεων. Γι’ αυτόν τον λόγο, προτρέπουν τις διάφορες οντότητες να συνεργαστούν περισσότερο για την άμυνα και την αντιμετώπιση των phishing επιθέσεων. Τόνισαν, ακόμη, πως η συνεργασία καθιστά όλες τις οντότητες ισχυρότερες ενάντια στο phishing και άλλα είδη επιθέσεων. Σύμφωνα με την Proofpoint, σε αυτή την προσπάθεια πρέπει να συνδράμουν, μεταξύ άλλων, καταχωρητές domain, πάροχοι πιστοποιητικών κρυπτογράφησης και εταιρείες φιλοξενίας. Τέλος, οι ερευνητές τόνισαν πως η διακοπή των phishing επιθέσεων είναι ζωτικής σημασίας για την προστασία των οργανισμών παγκοσμίως, ενώ εξίσου σημαντική είναι η σωστή και έγκαιρη ενημέρωση των υπαλλήλων, ώστε να είναι υποψιασμένοι για τέτοιες επιθέσεις.
Η πλήρης ακαδημαϊκή έρευνα έχει τον τίτλο “Sunrise to Sunset: Analysis the End-to-end Life Cycle and Effectivity of Phishing Attacks at Scale”.
