Los ataques de phishing son una importante amenaza cibernética que continúa evolucionando y volviéndose más sofisticada, causando miles de millones de dólares en pérdidas cada año según el reciente informe sobre delitos en Internet. Sin embargo, los motores tradicionales de detección de phishing fuera de línea o en línea están limitados a la hora de detectar páginas de phishing evasivas. Debido a los requisitos de rendimiento de las soluciones en línea, sólo pueden dirigirse a campañas específicas y, en el mejor de los casos, actuar como un analizador estático básico. Por otro lado, las soluciones de detección fuera de línea se basan en gran medida en rastreadores para recopilar contenidos y actualizar una lista de bloqueo para imponer el bloqueo de páginas de phishing. También son limitadas; las herramientas fuera de línea no pueden detectar páginas de phishing evasivas que presentan contenido benigno a un rastreador o campañas de corta duración que abandonan la URL antes de que se actualice en la lista de bloqueo.
En Netskope, hemos desarrollado un motor de detección de phishing en línea basado en aprendizaje profundo (DL-IPD) que puede abordar todas estas limitaciones. Nos permite inspeccionar el contenido web y bloquear páginas web de phishing en tiempo real, complementando nuestros analizadores y listas de bloqueo fuera de línea. El modelo aprende continuamente los patrones dinámicos de comportamiento de las páginas de phishing y puede identificar ataques de phishing paciente-cero y evasivos. De forma similar al preentrenamiento generativo de grandes modelos lingüísticos, como BERT y ChatGPT/GPT-4, utilizamos un gran número de páginas web para entrenar el codificador HTML y luego lo usamos para construir un clasificador de phishing. Hemos obtenido tres estadounidenses patentes por nuestro innovador enfoque de la detección del phishing.
El motor de detección de phishing en línea (DL-IPD) está disponible para todos los clientes de Intelligent SSE y Netskope Next Gen-SWG. En este artículo de blog, compartiremos algunos de los ejemplos de phishing evasivo y de paciente cero que nuestro motor ha detectado.
Amenaza paciente cero
Para detectar páginas de phishing, las soluciones tradicionales fuera de línea suelen rastrear las URL marcadas en el tráfico o recogidas de la comunidad de seguridad. Una vez que una página se identifica como phishing, se añade a una base de datos de listas de bloqueo utilizada para el filtrado de URL con el fin de impedir futuros accesos. Sin embargo, este enfoque puede dar lugar a retrasos debido al tiempo que se tarda en recopilar las características y actualizar la base de datos, lo que puede permitir que la primera víctima y los primeros intentos de phishing pasen desapercibidos, comprometiendo potencialmente a toda la organización. El análisis en línea ofrece una ventaja al inspeccionar el contenido real que ven los usuarios, con lo que se evitan los ataques paciente-cero. En la siguiente sección, presentamos ejemplos de campañas paciente-cero que han sido detectadas.
Robo de credenciales y tarjetas de crédito
Las páginas de phishing de robo de credenciales están diseñadas para parecerse a sitios web legítimos, como servicios en línea o sitios de comercio electrónico, y engañan a los usuarios para que introduzcan sus credenciales de inicio de sesión y la información de su tarjeta de crédito. El siguiente es un ejemplo de una página de phishing de robo de credenciales de paciente-cero que fue detectada por DL-IPD el 11 de abril de 2023. La campaña imita la página de inicio de sesión de CTT Correios de Portugal, el servicio postal nacional de Portugal, y pide a las víctimas que introduzcan sus datos personales y de tarjeta de crédito.
Estafa sanitaria
Desde el despliegue de Netskope Advanced Inline Phishing Detection (detección avanzada de phishing en línea de Netskope), hemos sido capaces de rastrear varias formas de estafas relacionadas con la sanidad, incluyendo curas falsas para enfermedades graves, suplementos y tratamientos para la salud no probados, y equipos y dispositivos médicos falsos. El siguiente es un ejemplo de estafa sanitaria que Netskope detectó el 10 de abril, antes que ningún otro proveedor (según los registros de VirusTotal). Esta estafa consiste en engañar a la víctima para que compre un paquete de productos sanitarios.