En abril de 2020, la unidad de inteligencia y amenazas Unit 42 de Palo Alto Networks informaba sobre una gran afluencia de ataques de phishing relacionados con la Covid-19 desde febrero de 2020. Ahora que se cumple el primer aniversario de la declaración de la Covid-19 como pandemia por parte de la Organización Mundial de la Salud, el equipo de investigación de Palo Alto Networks ha decidido revisar las tendencias de phishing observadas en los últimos meses para obtener una visión más profunda de los diversos temas que los atacantes podrían estar intentando explorar relacionados con el virus.
La investigación comenzó con el análisis de las URL de phishing detectadas a nivel mundial entre enero de 2020 y febrero de 2021. Una vez analizadas, se generaron grupos de palabras clave (o frases) específicas que sirviesen como indicadores para cada tema relacionado con Covid-19. A estos grupos se aplicó una concordancia que determinase con qué URL de phishing estaba relacionado cada tema. Para asegurarse de que las URL coincidentes estuvieran realmente relacionadas con la Covid, se verificaron de forma reiterada las URL resultantes y se refinaron estas palabras clave o frases para minimizar la incidencia de falsos positivos.
Tras este primer análisis se ha visto que, en cada paso del camino, los atacantes habían ido modificando las tácticas de ataque para adaptarse a las últimas tendencias pandémicas con la esperanza de mantener una sensación de urgencia en el tiempo que incrementaría la probabilidad de que las víctimas renunciasen finalmente a sus credenciales.
Así, los principales datos revelan que durante el mes de marzo de 2020 los ataques de phishing se centraron principalmente en equipos de protección personal (PPE) y kits de prueba. Por otro lado, desde el mes de abril hasta verano de 2020 se dieron en programas de ayudas del Gobierno (incluido un sitio web falso que se hizo pasar por la Comisión Federal de Comercio de EE.UU. para robar credenciales de usuarios).
Finalmente, desde finales de otoño de 2020, el centro de los ataques han sido las vacunas (incluyendo un sitio web falso de Pfizer y BioNTech que tenía por objetivo robar credenciales de usuarios). Además, los datos destacan que los ataques de phishing relacionados con las vacunas aumentaron en un 530% desde diciembre de 2020 hasta febrero de 2021, y que los ataques de phishing relacionados con farmacias y hospitales o dirigidos a ellos, aumentaron en un 189% durante ese mismo período de tiempo.
Microsoft, en el punto de mira
El análisis también mostró que Microsoft era la marca más atacada. Por ejemplo, los atacantes crearon páginas falsas de Microsoft para robar credenciales de empleados de organizaciones como Walgreens (con sede en EEUU), Pharmascience (con sede en Canadá), Glenmark Pharmaceuticals (con sede en India) y Junshi Biosciences (con sede en China).
Teniendo esto en cuenta, se puede predecir que a medida que continúe el proceso de la vacunación, los ataques de phishing relacionados con la distribución de las vacunas, incluyendo los dirigidos a las industrias de la salud y las ciencias biológicas, seguirán aumentando en todo el mundo.