Um só grupo de ciber-criminosos foi responsável por um quarto de todos os ataques de phishing detectados neste ano, de acordo com um novo relatório do Anti-Phishing Working Group (APWG).
Denominada Avalanche, esta quadrilha iniciou actividade no final do ano passado e tem, gradualmente, vindo a aumentar o seu espectro de acção. "Esta operação criminosa é uma das mais sofisticadas e danosas alguma vez detectadas na Internet, tendo por alvos preferenciais registadores e registos de domínios vulneráveis ou passivos”, pode ler-se no relatório.
O grupo ataca preferencialmente instituições financeiras, serviços online e fornecedores de serviços de oferta de emprego, actuando com recurso a técnicas de fluxo rápido que ocultam os verdadeiros sites de ataque, escondendo-os por detrás de um grupo de máquinas proxy em constante mudança, na sua maioria computadores de utilizadores domésticos previamente infectados, de acordo com o relatório.
Em vez de manifestar sinais de enfraquecimento, dado os tremendos esforços que têm sido realizados no sentido de desmantelar o Avalanche, o gang parece cada vez mais forte. "Os ataques do Avalanche aumentaram significativamente no terceiro trimestre deste ano, e os números preliminares que possuímos hoje indicam uma possível duplicação no número de ataques ocorridos no último Verão", diz o documento. Refira-se que o período de análise deste relatório terminou a 1 de Julho, pelo que só no próximo se poderá constatar o real alcance deste fenómeno.
Uma vez que os endereços IP de onde parecem provir os ataques estão em constante mudança, de nada resolve alertar os ISP para o problema. Quando o ISP finalmente suspendesse o endereço IP, já o proxy utilizado pelo atacante se teria movido para outro qualquer.
Os membros do Avalanche registam os domínios junto de um a três registadores ou revendedores e realizam testes para perceber se o registo de nomes de domínio quase idênticos passa ou não despercebido. Se passarem, lançam os seus ataques a partir destes domínios, mas se forem detectados, limitam-se a abandoná-los e a passar de imediato para outros.
O relatório dá um exemplo do tipo de nome de domínios utilizado: 11fjfhi.com, 11fjhj.com, 11fjfh1.com, 11 fjfhl.com, sendo que cada um deles é usado para lançar até 30 ataques, dizem os autores do estudo.
O Avalanche ataca apenas uma ou duas empresas de cada vez e frequentemente volta a atacar alvos mais antigos.
Graças aos esforços que têm sido desenvolvidos no sentido de contra-atacar este grupo, por parte de ISPs e outras entidades, o tempo de vida médio de cada ataque foi consideravelmente reduzido, comparativamente com a duração de todos os outros ataques conhecidos. A duração média de um ataque de phishing é de 39 horas e 11 minutos, enquanto os perpetrados pelo gang da Avalanche duram, em média, 18 horas e 45 minutos.
Os investigadores do APWG consideram que um ataque foi extinto quando passa uma hora sem que seja registada qualquer actividade. Estes ataques podem voltar à acção após uma hora, o que prolongaria a sua longevidade mas não seria contabilizado pelo relatório. Assim, conclui o estudo que a duração dos ataques Avalanche pode ser muito superior ao que os resultados indicam.
Outra conclusão do estudo é que a utilização de computadores infectados como rampa de lançamento de ataques de phishing está a aumentar exponencialmente. De acordo com o documento, 14.5 por cento dos ataques de phishing tiveram proveniência daquilo a que o APWG chama de domínios maliciosos, registados pelos próprios phishers. Todos os demais, vieram de "domínios pirateados ou comprometidos, pertencentes a vítimas inocentes”.
Dos domínios nocivos, 43 por cento acabaram por ser rampas de lançamento de ataques perpetrados pelo Avalanche.
Fonte: ComputerWord
Nenhum comentário:
Postar um comentário
Deixe seu comentário, ele é muito importante