Πάνω από 50.000 ψεύτικες σελίδες σύνδεσης εντοπίστηκαν κατά το πρώτο εξάμηνο του 2020, πολλές από τις οποίες είναι πολυμορφικές και αντιπροσωπεύουν διαφορετικές εταιρείες. Σύμφωνα με έρευνα που διεξήγαγε η Ironscales, οι ψεύτικες σελίδες σύνδεσης χρησιμοποιούνται συνήθως για την υποστήριξη hacking εκστρατειών όπως το spear-phishing, ενώ οι ερευνητές της διαπίστωσαν ότι ψεύτικες σελίδες σύνδεσης είχαν πλαστογραφήσει πάνω από 200 γνωστές εταιρείες παγκοσμίου φήμης. Οι ερευνητές διαπίστωσαν επίσης ότι περίπου 2.500 από τις 50.000 και πλέον ψεύτικες σελίδες σύνδεσης ήταν πολυμορφικές, με μία ψεύτικη σύνδεση να μπορεί να αντιπροσωπεύει περισσότερες από 300 διαφορετικές σελίδες σύνδεσης.
Σύμφωνα με τον Brendan Roddas της Ironscales, η πολυμορφικότητα οφείλεται στο γεγονός ότι ένας εισβολέας εφαρμόζει μικρές αλλά σημαντικές και συχνά τυχαίες αλλαγές σε ένα email, όπως για παράδειγμα στο περιεχόμενο, το αντίγραφο, τη γραμμή θέματος και το όνομα του αποστολέα.
Αυτό επιτρέπει στους επιτιθέμενους να εκτελέσουν γρήγορα phishing επιθέσεις, με τις οποίες εξαπατούν τα εργαλεία ασφάλειας email βάσει υπογραφής που δεν έχουν κατασκευαστεί για να αναγνωρίζουν τέτοιες τροποποιήσεις στις απειλές, επιτρέποντας τελικά σε διαφορετικές παραλλαγές της ίδιας επίθεσης να φτάσουν στα εισερχόμενα μηνύματα των υπαλλήλων χωρίς να είναι ανιχνεύσιμες.
Η έρευνα διαπίστωσε επίσης ότι η εταιρεία με τον μεγαλύτερο αριθμό ψεύτικων σελίδων σύνδεσης είναι η PayPal (11.000), ακολουθούμενη από τη Microsoft (9.500) και το Facebook (7.000).
Η Ironscales ανέφερε ότι οι πιο συνηθισμένοι παραλήπτες email ψεύτικων σελίδων σύνδεσης βρίσκονται στις χρηματοοικονομικές υπηρεσίες, τις υπηρεσίες υγειονομικής περίθαλψης, τις τεχνολογικές εταιρείες καθώς και σε κυβερνητικούς φορείς.
Σύμφωνα με τον Chris Hauk, ο οποίος ασχολείται με το απόρρητο των καταναλωτών στο Pixel Privacy, όσο εξακολουθούν να είναι αποτελεσματικές οι ψεύτικες σελίδες σύνδεσης και να εξαπατούν ανυποψίαστους στόχους, τόσο οι κακόβουλοι παράγοντες που βρίσκονται πίσω από αυτές θα συνεχίσουν να τις χρησιμοποιούν. Ο Hauk πρόσθεσε ακόμη πως ο καλύτερος τρόπος για την αντιμετώπιση και την εξάλειψη αυτών των ψεύτικων σελίδων σύνδεσης είναι η σωστή και ουσιώδης εκπαίδευση των χρηστών αναφορικά με τους κινδύνους που συνεπάγονται αυτές οι απειλές, αλλά και αναφορικά με το πώς μπορούν αυτοί να αντιμετωπιστούν αποτελεσματικά. Ο Hauk πρότεινε επίσης την χρήση βοηθητικών προγραμμάτων, τα οποία μπορούν να προσδιορίσουν τέτοιες σελίδες, όπως το Ironscales URL και το link scanner.
Η Niamh Muldoon, ανώτερη διευθύντρια ασφαλείας στην OneLogin, διευκρίνισε τους κύριους λόγους για τους οποίους λειτουργούν τα ψεύτικα στοιχεία σύνδεσης. Αρχικά, επεσήμανε πως ο βασικός παράγοντας της επιτυχίας των ψεύτικων σελίδων σύνδεσης είναι η τεράστια έλλειψη εκπαίδευσης, κατάρτισης και ευαισθητοποίησης των χρηστών σχετικά με τις απειλές που αναδύονται στο πεδίο του κυβερνοχώρου – ένα κενό που έχει αυξηθεί σημαντικά τους τελευταίους μήνες, μετά το ξέσπασμα της πανδημίας του COVID-19.
Στη συνέχεια, η Muldoon ανέφερε πως η έλλειψη ελέγχου που σχετίζεται με τη δημιουργία ιστότοπων, την εγγραφή domain και τη σχετική διαχείριση, είναι ένας ακόμη παράγοντας που συμβάλλει στην ενίσχυση αυτού του φαινομένου. Αυτό περιλαμβάνει την επαλήθευση της ακεραιότητας των ιστότοπων ή και των domain με προληπτικό τρόπο. Παρόλο που υπάρχουν διαδικασίες για την κατάργηση ιστότοπων και domain που περιέχουν malware ή δεν είναι νόμιμοι, αυτές οι διαδικασίες είναι εξαιρετικά χρονοβόρες, με αποτέλεσμα οι τελικοί χρήστες να εκτίθενται στο χρόνο μεταξύ των ψεύτικων σελίδων που εμφανίζονται και των domain και των IP που περιλαμβάνονται στη μαύρη λίστα ή καταργούνται. Επιπλέον, η Muldoon κατέληξε στο ότι απαιτείται μια παγκόσμια ομάδα εργασίας και μια διεθνής συνεργασία για την εφαρμογή κανονισμών που σχετίζονται με την καταχώριση και διαχείριση domain και site, για να σταματήσουν αυτές οι σελίδες να κάνουν την εμφάνισή τους.
Ο Hugo van der Toorn, υπεύθυνος ασφαλείας στην Outpost24, δήλωσε πως δεν πρόκειται για επιθέσεις που στοχεύουν μία εταιρεία, αλλά τα ονόματα, τα εμπορικά σήματα και τη συνολική αναγνώριση των εμπορικών σημάτων που χρησιμοποιούνται για την επίτευξη ορισμένων στόχων. Επομένως, πρέπει να διευκολυνθεί η ταχεία αναφορά και η παρακολούθηση αποπειρών phishing που παραβιάζουν τις επώνυμες εταιρείες και απειλούν τους πελάτες και, κατ’επέκταση, τη φήμη αυτών. Ο Toorn συμπλήρωσε ακόμη πως μετά τον εντοπισμό μιας απόπειρας phishing, οι εταιρείες πρέπει να είναι σε θέση να εκδώσουν μια ειδοποίηση και, εντός ωρών, να σταματήσουν την phishing εκστρατεία. Τέλος, ο Toorn τόνισε πως βασικός στόχος είναι η γρήγορη και αποτελεσματική απόκριση των ανθρώπων που αναγνωρίζουν και αναφέρουν αυτές τις απόπειρες phishing.
