Archivo por meses: mayo 2015

Cybercrimes are still on the rise

There are some who think that phishing has gone out of fashion. But according to reports by the Anti-Phishing Working Group (APWG)1, the number of attacks of this kind rose again in 2014 to reach the highest ever levels (a new case every two minutes; almost 250,000 a year in total). In the same year, the number of web domains set up for identity theft also increased by 7%, whilst the total number of domains in the world grew by a slower rate of 3%. Phishing attacks on social networks still have a 125% annual growth.

Manel Medina

Manel Medina

The real danger for society is that phishing has led to spearphishing or attacks aimed at a person or group within an organization. These attacks increase at a rate of 8% a year and cause average losses of €75,000. They consist of very specific messages, apparently from people we know or colleagues, with topics and contents copied from our normal emails.

The last report published by APWG on phishing trends and activities and cybercrime in general, indicates that during the last quarter of 2014:
– A total of 549 corporations were attacked by phishing, which is up almost 4% from the previous quarter.
– Every three months around 100,000 individual phishing attacks are recorded. There is a certain degree of seasonal variation, as at the start of the year (the post-Christmas crunch, Chinese New Year) there are fewer attacks, and at the end of the year (Christmas campaigns, Black Friday, etc.) more are recorded. This number is still rising, after a drop in 2009. For example, PayPal receives almost 100 attacks a day, and Apple registered the most, with an average of over 120 attacks a day.
– Over 70% of all attacks are on activities related to financial transactions: e-commerce is the main target (32.4%), followed by banks (25.7%) and correspondent banks (12.8%).
– Only 1.7% of the domain names used to steal information have a name similar to that of a well-known commercial brand. So if we look at the URLs that we are going to visit, we could avoid over 98% of attacks.
– Every day, almost 230,000 new forms or varieties of malware are registered on average.

Other sources indicate that just in the USA in 2014, a total of 621 major incidents of this kind occurred, leading to the theft of 77,890,487 user records. The credit and banking sectors reported 24 major incidents in the same year, which compromised 1,172,320 client records.

In Europe, personal data theft is increasing at a rate of 25% a year, according to the ENISA report (ENISA Threat Landscape 2014), and tends to be focused on data that have a financial impact on the victims.

A total of 80% of cyberattacks are made possible by weak passwords.

A total of 29% of security incidents have been related in some way to social networks, with average losses of €20,000 to 80,000 per attack. Scams based on identity theft or theft of contact data or friends from social networks lead to losses of over 10 billion euros, which are also the estimated losses due to what are known as 419 scams.

Cybercrime continues to increase and we continue to fight against it. Coming up is the I Symposium on Electronic Crime Research (eCrime 2015) in Barcelona, organized by the APWG, an organization in which I am chair of the Organizing Committee. At this conference, we will look at how we can face the new challenges of cybercrime at global level, and we will study how the latest research responds to the latest cybercrime techniques.

banner4

In the same field, but in the area of dissemination, the book Cibercrimen will be presented in Barcelona today at the Librería HispanoAmericana (Gran Vía 594). In a simple way for any internet user, we will learn how to move through cyberspace without exposing ourselves to cybercrime, through useful self-protection techniques.

We look forward to seeing you there!

PhD. Manuel Medina

Professor at the Universidad Politècnica de Catalunya (UPC), Scientific Coordinator of the European division of APWG (APWG.EU), a member of the advisory council of ISMS Forum Spain (2013), and the founder and director of esCERT-UPC (which is part of inLab FIB UPC).

El ciber crim segueix creixent

Encara hi ha qui pensa que el phishing està passat de moda. Però segons els informes de l’Anti-Phishing Working Group (APWG) el nombre d’atacs d’aquest tipus va tornar a repuntar el 2014, assolint màxims històrics (un cas nou cada dos minuts, en total gairebé 250.000 l’any), i el de dominis de pàgines web dedicades a robar-nos credencials també va créixer un 7%, mentre que el nombre total de dominis al món ho va fer a un ritme del 3%. Els atacs de phishing en xarxes socials experimenten encara un creixement del 125% anual.

Manel Medina

Manel Medina

El perill real per a la societat és que el phishing ha derivat a spearphishing o atacs dirigits a una persona o grup dins d’una organització. Aquests atacs creixen a un ritme del 8% anual i causen unes pèrdues mitjanes de 75.000€. Consisteixen en missatges molt concrets, aparentment provinents de persones conegudes o companys de treball, amb temes i continguts “calcats” de missatges habituals d’aquesta persona.

En l’últim informe publicat per APWG sobre les activitats i tendències de phishing i ciber crim en general, s’indica que durant l’últim trimestre de 2014:
– Un total de 549 corporacions van ser atacades mitjançant phishing, gairebé un 4% més que el trimestre anterior.
– Cada tres mesos es registren al voltant de 100.000 atacs de phishing únics, amb una certa estacionalitat, ja que al principi de l’any (la pujada de gener, any nou xinès) hi ha menys atacs, i al final de l’any (campanyes nadalenques, Black-Friday , etc.) es registren més. Aquest nombre segueix creixent, després de la caiguda que es va produir el 2009. Així, PayPal rep gairebé 100 atacs diaris, i Apple va ser la que més va registrar, amb una mitjana de més de 120 atacs al dia.
– Les activitats relacionades amb transaccions econòmiques acumulen més del 70% de tots els atacs: el comerç electrònic al capdavant (32,4%), i després les entitats financeres (25,7%) i intermediaris de pagament (12,8% ).
– Només un 1,7% dels noms de domini usats per robar informació tenien una denominació semblant a la d’una marca comercial coneguda. Per tant, si miréssim els URL que anem a visitar evitaríem més del 98% d’atacs.
– Cada dia es registren una mitjana de gairebé 230.000 noves formes o variants de malware.

Altres fonts indiquen que només als EUA el 2014 s’havien revelat 621 incidents importants d’aquest tipus, resultant en el robatori de 77.890.487 de registres d’usuari. Els sectors financer, creditici i bancari van patir i van informar de 24 incidents importants durant aquest any, els quals van comprometre 1.172.320 registres de clients.

A Europa, el robatori de dades personals està creixent a un ritme del 25% anual, segons l’informe d’ENISA (ENISA Threat Landscape 2014), tendint a concentrar-se en dades amb impacte financer en les víctimes. El 80% dels ciberatacs es realitzen gràcies a contrasenyes “toves”.

El 29% dels incidents de seguretat han estat relacionats d’alguna forma amb xarxes socials, amb unes pèrdues mitjanes de 20.000 a 80.000€ per atac. Estafes basades en el robatori d’identitat o dades de contactes o amics en xarxes socials, generen pèrdues superiors als 10.000 milions d’euros, que són les pèrdues estimades utilitzant l’anomenada Estafa del Nigerià.

El ciber crim segueix creixent i nosaltres seguim lluitant contra ell. Aquests dies s’està celebrant a Barcelona el I Symposium on Electronic Crime Research (eCrime 2015) organitzat per la APWG en el qual hi participo com a president del Comitè Organitzador. En aquest congrés analitzem com podem afrontar els nous reptes amb què ens desafia el ciber crim a nivell global, i estudiarem com els últims treballs d’investigació responen a les tècniques de ciber delicte més actuals.
banner4
A un nivell més divulgatiu, però en la mateixa línia, avui presentem a Barcelona el llibre Cibercrim, a la Llibreria Hispanoamericana, (Gran Via 594). D’una manera senzilla per a qualsevol usuari de la xarxa, aprendrem a moure’ns pel ciberespai sense exposar-nos al ciber crim, a través d’útils tècniques d’autoprotecció.

Hi esteu convidats.

Dr. Manel Medina

Catedràtic de la Universitat Politècnica de Catalunya (UPC), Coordinador científic del capítol europeu de APWG (APWG.EU), membre del consell assessor d’ISMS Forum Spain (2013), i fundador i director d’esCERT (integrat en inLab FIB, membre de CIT UPC).