Encara hi ha qui pensa que el phishing està passat de moda. Però segons els informes de l’Anti-Phishing Working Group (APWG) el nombre d’atacs d’aquest tipus va tornar a repuntar el 2014, assolint màxims històrics (un cas nou cada dos minuts, en total gairebé 250.000 l’any), i el de dominis de pàgines web dedicades a robar-nos credencials també va créixer un 7%, mentre que el nombre total de dominis al món ho va fer a un ritme del 3%. Els atacs de phishing en xarxes socials experimenten encara un creixement del 125% anual.
Manel Medina
El perill real per a la societat és que el phishing ha derivat a spearphishing o atacs dirigits a una persona o grup dins d’una organització. Aquests atacs creixen a un ritme del 8% anual i causen unes pèrdues mitjanes de 75.000€. Consisteixen en missatges molt concrets, aparentment provinents de persones conegudes o companys de treball, amb temes i continguts “calcats” de missatges habituals d’aquesta persona.
En l’últim informe publicat per APWG sobre les activitats i tendències de phishing i ciber crim en general, s’indica que durant l’últim trimestre de 2014:
– Un total de 549 corporacions van ser atacades mitjançant phishing, gairebé un 4% més que el trimestre anterior.
– Cada tres mesos es registren al voltant de 100.000 atacs de phishing únics, amb una certa estacionalitat, ja que al principi de l’any (la pujada de gener, any nou xinès) hi ha menys atacs, i al final de l’any (campanyes nadalenques, Black-Friday , etc.) es registren més. Aquest nombre segueix creixent, després de la caiguda que es va produir el 2009. Així, PayPal rep gairebé 100 atacs diaris, i Apple va ser la que més va registrar, amb una mitjana de més de 120 atacs al dia.
– Les activitats relacionades amb transaccions econòmiques acumulen més del 70% de tots els atacs: el comerç electrònic al capdavant (32,4%), i després les entitats financeres (25,7%) i intermediaris de pagament (12,8% ).
– Només un 1,7% dels noms de domini usats per robar informació tenien una denominació semblant a la d’una marca comercial coneguda. Per tant, si miréssim els URL que anem a visitar evitaríem més del 98% d’atacs.
– Cada dia es registren una mitjana de gairebé 230.000 noves formes o variants de malware.
Altres fonts indiquen que només als EUA el 2014 s’havien revelat 621 incidents importants d’aquest tipus, resultant en el robatori de 77.890.487 de registres d’usuari. Els sectors financer, creditici i bancari van patir i van informar de 24 incidents importants durant aquest any, els quals van comprometre 1.172.320 registres de clients.
A Europa, el robatori de dades personals està creixent a un ritme del 25% anual, segons l’informe d’ENISA (ENISA Threat Landscape 2014), tendint a concentrar-se en dades amb impacte financer en les víctimes. El 80% dels ciberatacs es realitzen gràcies a contrasenyes “toves”.
El 29% dels incidents de seguretat han estat relacionats d’alguna forma amb xarxes socials, amb unes pèrdues mitjanes de 20.000 a 80.000€ per atac. Estafes basades en el robatori d’identitat o dades de contactes o amics en xarxes socials, generen pèrdues superiors als 10.000 milions d’euros, que són les pèrdues estimades utilitzant l’anomenada Estafa del Nigerià.
El ciber crim segueix creixent i nosaltres seguim lluitant contra ell. Aquests dies s’està celebrant a Barcelona el I Symposium on Electronic Crime Research (eCrime 2015) organitzat per la APWG en el qual hi participo com a president del Comitè Organitzador. En aquest congrés analitzem com podem afrontar els nous reptes amb què ens desafia el ciber crim a nivell global, i estudiarem com els últims treballs d’investigació responen a les tècniques de ciber delicte més actuals.
A un nivell més divulgatiu, però en la mateixa línia, avui presentem a Barcelona el llibre Cibercrim, a la Llibreria Hispanoamericana, (Gran Via 594). D’una manera senzilla per a qualsevol usuari de la xarxa, aprendrem a moure’ns pel ciberespai sense exposar-nos al ciber crim, a través d’útils tècniques d’autoprotecció.
Hi esteu convidats.
Dr. Manel Medina
Catedràtic de la Universitat Politècnica de Catalunya (UPC), Coordinador científic del capítol europeu de APWG (APWG.EU), membre del consell assessor d’ISMS Forum Spain (2013), i fundador i director d’esCERT (integrat en inLab FIB, membre de CIT UPC).