Los ciberdelincuentes han encontrado una nueva forma de eludir lo que es un elemento disuasivo eficaz. ataques de phishing, con nuevos servicios anti-bot vendidos en la Dark Web que les permiten eludir la advertencia de protección de la “Página Roja” de Google Chrome que alerta a los usuarios sobre posibles fraudes.
Los servicios anti-bot tienen como objetivo evitar que los rastreadores de seguridad identifiquen páginas de phishing y las bloqueen filtrando los robots de ciberseguridad y ocultando páginas de phishing de los escáneres de Google, según nueva búsqueda publicado hoy por SlashNext.
Para ello, hacen la página roja, una funcionalidad de Navegación segura de Google – que a su vez es una característica de los navegadores basados en Chromium y otros servicios de Google – que tiene como objetivo proteger a los usuarios de sitios web dañinos advirtiéndoles sobre peligros potenciales, como intentos de phishing. La página se llama así porque se muestra en rojo y advierte que un sitio al que alguien navega puede ser engañoso, aconsejándole que lo evite.
Al hacerlo, la advertencia puede limitar “severamente” “el éxito potencial de ataques de phishing“, según el mensaje, lo que representa “un gran obstáculo” para las campañas de amenazas. De hecho, estas campañas se basan en altas tasas de clics, que se reducen significativamente cuando la detección de Google marca una página de phishing y la ‘agrega a una lista de bloqueo’.
Ahora, varios servicios anti-bot que se encuentran en la Dark Web, como Otus Anti-Bot, Remove Red y Limitless Anti-Bot, “amenazan con socavar esta línea de defensa, exponiendo potencialmente a más usuarios a ataques sofisticados”. intentos de phishing“, según el mensaje.
Cómo funcionan los servicios anti-bot
Si bien cada servicio tiene sus propias características, todos se basan en una combinación de varias técnicas que permiten que el contenido malicioso evite la función de página roja de Google. La mayoría depende de mecanismos de detección de bots que escanean cadenas de agentes de usuario y direcciones IP para filtrar el tráfico de bots de seguridad conocidos que de otro modo serían bloqueados, según SlashNext.
“Las listas públicas de rastreadores de seguridad cibernética están ampliamente disponibles (por ejemplo, Shodan), lo que facilita filtrar el tráfico de rastreadores de seguridad conocidos”, según la publicación. “Una vez que una dirección IP o un agente de usuario se marca como rastreador de seguridad, se bloquea, lo que garantiza que la página siga siendo accesible para los usuarios reales pero oculta a las entidades de ciberseguridad”.
Los Servicios también utilizan técnicas de enmascaramiento, como cambio de contexto u ofuscación de JavaScript para ofrecer contenido diferente según el perfil del visitante. Estas técnicas redirigen eficazmente a los rastreadores de seguridad a contenido inofensivo mientras dirigen al usuario a un página de phishing.
Otra característica común de los servicios anti-bot es introducir CAPTCHA o desafiar a las páginas a filtrar los escáneres automatizados que normalmente escanean una página web en busca de contenido malicioso. “Dado que la mayoría de los bots no pueden resolver CAPTCHA, esta técnica los bloquea efectivamente y permite el paso a usuarios reales”, según la publicación.
Algunos servicios anti-bot pueden incluso introducir un retraso, lo que confunde aún más a los robots de seguridad al obligarlos a “esperar” antes de que puedan escanear la página y así alertar a los usuarios de una posible amenaza a la seguridad.
También pueden eludir la página roja de Google ofreciendo contenido específico de una región y bloqueando el tráfico extranjero, según SlashNext. Por ejemplo, si una campaña de phishing tiene como objetivo un banco coreano, el servicio podría permitir que sólo el tráfico coreano visite el sitio mientras bloquea las direcciones IP extranjeras, señalaron los investigadores. Además, estos métodos pueden volverse extremadamente específicos geográficamente, limitando incluso las campañas al nivel de la ciudad, lo que impediría que los servicios internacionales de ciberseguridad detecten completamente la página, según la publicación.
No completamente infalible
Aunque estos servicios anti-bot pueden reducir significativamente el alcance de la página roja de Google, tienen sus limitaciones, señalaron los investigadores. Los servicios maliciosos funcionan mejor en campañas de phishing menos sofisticadas porque pueden identificar y bloquear rastreadores conocidos en la cadena de agentes de usuario, donde muchos proveedores de seguridad declaran sus bots y rastreadores, señalaron los investigadores.
“Esto permite a los ciberdelincuentes filtrar el tráfico de bots, extendiendo así la vida útil de las campañas de phishing”, según la publicación. Sin embargo, en operaciones de phishing más sofisticadas, el análisis manual realizado por analistas eventualmente detectará la página, lo que llevará a su inclusión en listas de bloqueo.
Sin embargo, cualquier cosa que pueda limitar la detección de phishing por parte de los usuarios finales representa una amenaza para la seguridad general no solo de las personas sino también de las empresas. De hecho, a pesar de ser una de las formas más antiguas de ciberdelito, el phishing sigue siendo una de las principales formas en que los atacantes obtienen acceso inicialmente a las redes corporativas para llevar a cabo otros tipos de actividades maliciosas, como. ataques de ransomware.
Además, el aumento de la disponibilidad de kits de phishing que permiten a los atacantes crear campañas fácilmente, la creciente sofisticación de las tácticas de phishing y ahora la aparición de servicios anti-bot hacen que la detección por parte de individuos y defensores sea más compleja.
La mejor defensa contra el uso de servicios anti-bot para eludir la página roja de Google es utilizar plataformas de seguridad que puedan detectar amenazas en tiempo real en correo electrónico, correo electrónico y aplicaciones de mensajería con la mayor precisión posible, según SlashNext. El análisis manual antes mencionado de las páginas de phishing y la posterior adición de sitios maliciosos a las listas de bloqueo también pueden impedir que estos servicios sean efectivos.