Para la segunda mitad de 2008 se prevé que la media diaria de mensajes de spam oscile entre los 30.000 y los 50.000 millones, cantidad que aumentará hasta los 180.000 millones de mensajes al día coincidiendo con la temporada navideña.
Según podemos leer en el último informe semestral sobre amenazas y previsiones "Trend Micro Treta Roundup and Forecast 1H 2008", los cibercriminales están siempre al acecho de nuevas oportunidades para comprometer la seguridad de los usuarios y apropiarse de sus datos privados.
Los expertos de la compañía de seguridad destacan que los cibercriminales no descansan nunca y buscan aprovechar a su favor cualquier suceso que se produzca usando la ingeniería social para alcanzar a un mayor número de usuarios.
Asimismo, los expertos advierten que durante estos últimos meses se han incrementando los ataques a través de sitios web infectados mientras que clásicos como el "adware" o el "spyware" vienen decayendo en su uso. La compañía considera que este cambio se debe principalmente a la mejora de los productos "antiviricos" y a su popularización, bloqueando este tipo de ataques.
Aprovecharse de la naturaleza humana a través de técnicas de ingeniería social y phishing
Mientras que algunas técnicas de ingeniería social, tales como la estafa del phishing nigeriano o la del prisionero español, han estado presentes durante décadas, los ciber-criminales continúan refrescando y modernizando esta forma de engaño estándar basada en cualquier otra tendencia. Por ejemplo, las herramientas y tecnologías utilizadas para crear la naturaleza interactiva de los sitios de redes sociales populares se ha convertido en el último filón para el ciber-crimen. En marzo, Trend Micro descubrió que unos 400 kits de phishing fueron diseñados para generar páginas de phishing dirigidas a los principales sitios Web 2.0 (por ejemplo: sitios de redes sociales, para compartir vídeos o de VoIP), proveedores de servicios de email gratuito, entidades financieras y conocidas webs de e-Commerce.
Recientemente, una nueva forma de phishing advertía a las posibles víctimas sobre los emails de phishing como una forma para validar el correo electrónico engañándoles posteriormente para hacer clic en un link que conducía a un sitio fraudulento. Igualmente, los spammers también están reciclando técnicas antiguas. Así, en el mes de febrero Trend Micro detectó un intento de phishing de voz, técnica conocida también como vishing. El mensaje parecía convincente, con todos los links dirigidos a las páginas legítimas correspondientes, pero facilitaba un número de teléfono falso a los receptores, a quienes se les pedía que llamaran para reactivar sus cuentas. Una vez que llamaban a dicho teléfono, se preguntaba a los usuarios por su número de cuenta bancaria y su número PIN, con lo que abrían así sus cuentas a los phishers de forma inconsciente.
Desarrollando malware para amenazas combinadas
Las variantes de malware por lo general han sido tratadas como amenazas por separado. Actualmente, y ante la motivación de obtener ingresos, las amenazas web combinan varios componentes de software malicioso bajo un singular modelo de negocio. Por ejemplo, un ciber-criminal envía un mensaje (spam) con un link incluido en el email (una URL maliciosa) o contenido en un mensaje instantáneo. El usuario hace clic en el link y es redirigido a un website donde un archivo (troyano) se descarga automáticamente en su ordenador. El troyano después descarga un archivo adicional (spyware) que captura información confidencial del tipo números de cuentas bancarias (spy-phishing). Aunque aparentan ser incidentes aislados, las amenazas combinadas son mucho más difíciles de combatir y sin duda más peligrosas para el usuario.
Aprovechar nuevas tecnologías
La técnica "fast-flux" es un ejemplo adicional de cómo los criminales están abusando de los desarrollos tecnológicos. Fast-flux es un mecanismo de intercambio de servidor de nombres de dominio (DNS) que combina redes peer-to-peer, comandos y control distribuido, balanceo de carga basado en web y redirección de proxy para ocultar sitios que suministran phishing. Fast-flux ayuda a los sites de phishing a permanecer activos durante períodos más largos para atraer a más víctimas. Por ejemplo, los investigadores tienen el desafío de identificar dominios maliciosos como Storm porque los desarrolladores están utilizando técnicas fast-flux para evitar ser detectados.
Nuevo récord de amenazas web acompañado de un descenso del adware y keyloggers
Trend Micro ha sido testigo del importante incremento de la actividad de las amenazas web durante la primera mitad de 2008. Éstas alcanzaron su punto máximo durante el pasado mes de marzo, al llegar a los 50 millones desde los casi 15 millones registrados en diciembre de 2007.
Por su parte, técnicas como el adware, trackware, keyloggers y freeloaders, experimentaron un descenso. En marzo de 2007, Trend Micro encontró que aproximadamente el 45% de los PCs estaban infectados por adware, mientras que en abril de 2008, este porcentaje bajó al 35%. Por otro lado, en mayo de 2007 casi el 20% de los PCs contenía trackware, en comparación con el ratio de abril de 2008, cuando el trackware cayó a menos del 5%. Por su parte, los keyloggers también registraron un descenso constante, aunque algo menor, así, los PCs infectados por keyloggers se situaron por debajo del 5% frente al 5% de septiembre de 2007.
"Esto es un buen ejemplo de cómo los ciber-criminales están evolucionando y adaptándose a los nuevos tiempos, alejándose de las amenazas que utilizan tecnologías anticuadas o en declive, para centrarse en las amenazas lucrativas que les proporcionen una mayor carga útil", afirma Raimund Genes, Director de Tecnología de Trend Micro.
Otras conclusiones importantes:
En el informe de Trend Micro también se pone de manifiesto que:
Los websites de renombre se han convertido en el principal foco de los ciber-delincuentes. A principios de enero, se lanzaron varios ataques masivos de inyección de SQL en miles de páginas web pertenecientes a compañías incluidas en el Fortune 500, agencias de gobiernos estatales e instituciones educativas.
Las amenazas móviles siguen representando una pequeña parte dentro del nuevo panorama de peligros. En enero, Trend Micro descubrió malware enmascarado como un archivo multimedia que fue utilizado para infectar teléfonos Nokia.
La habilidad lleva a la precisión. Los ciber-criminales se están concentrando cada vez más en los usuarios con más capacidades económicas, tales como los ejecutivos de nivel C, que representan a un grupo minoritario de ricos, personas de clase alta cuyas posiciones les permiten acceder a grandes cuentas bancarias, a registros de credenciales o incluso a las direcciones de email de toda una organización.
El volumen de spam disminuyó ligeramente a principios de 2008, esto se debe a que quizá los spammers hicieron una pausa después de las vacaciones de Navidad. La cantidad de spam aumentó en marzo para experimentar un ligero descenso en abril. El equipo de investigación de Trend Micro deduce que cuando hay una caída en la actividad de spam es señal de que los spammers se están reagrupando para lanzar un nuevo ataque o bien que se encuentran probando nuevas técnicas.
Los PCs comprometidos con bots ascendieron a 1,5 millones en enero de 2008, cifra que se disparó en febrero llegando a los 3,5 millones de máquinas infectadas. A esta subida le siguió un importante descenso en marzo.
Previsiones para el segundo semestre de 2008
De acuerdo con las investigaciones y el análisis de los ataques que han tenido lugar desde comienzos de 2008, el equipo de investigación de Trend Micro prevé las siguientes tendencias durante los próximos seis meses:
La ingeniería social permanecerá como método de ataque clave, con engaños mucho más sofisticados. Trend Micro anticipa que los ciber-criminales tratarán de sacar partido de acontecimientos y eventos como los Juegos Olímpicos, las compras de la vuelta al colegio, las elecciones a la presidencia de Estados Unidos, eventos de fútbol y las vacaciones de Navidad.
Los ciber-criminales continuarán enfocándose en las nuevas vulnerabilidades que se descubran en las aplicaciones de software de terceros, tales como QuickTime, RealPlayer, Adobe, Flash, etc.
El crimeware basado en métodos técnicos que se está quedando obsoleto, como es el caso de los dialers y los keyloggers, continuará su lento descenso. Por su parte, las modalidades de grayware, como el trackware y el browser hijackers también experimentarán una lenta caída debido a que no podrán prosperar en la era de los botnets.
El volumen de spam continuará creciendo exponencialmente. Se espera que la media diaria de spam aumente entre los 30.000 y 50.000 millones de mensajes al día. Asimismo, se prevé que tanto el spam como el phishing se incrementen en agosto con motivo de las actividades de la vuelta al colegio y los Juegos Olímpicos. Un pico estacional se espera también en noviembre correspondiendo con la temporada de vacaciones, período en el que se estima que el spam alcance entre los 170.000 y 180.000 millones de mensajes al día.
Como está ocurriendo hasta ahora, tanto el spam como el phishing seguirán siendo parte de las amenazas combinadas. Alrededor del 0,2%, es decir, una de cada 500 solicitudes web, son enviadas a páginas alojadas en PCs infectados, y esta tendencia se espera que continúe.
Bots y botnets continuarán jugando un papel importante en la cadena de amenazas para llevar a cabo ataques de spam, robo de información, ataques dirigidos y campañas de ataques a gran escala.
[tags]Trend Micro[/tags]