En enero de este año, el número más alto jamás registrado en el número de URL únicas de sitios de phishing en todo el mundo, según un informe de APWG.
El grupo APWG, una organización internacional compuesta por más de 2.200 instituciones de la industria de la seguridad, organizaciones gubernamentales y no gubernamentales, que ha estado publicando informes sobre el panorama global del phishing durante algún tiempo, publicó recientemente un informe que analiza la actividad del phishing durante el primer trimestre. de 2021.
El documento destaca que luego de un año 2020 en el que se duplicó el número de ataques de phishing, en enero de este año se alcanzó un pico histórico según registros de APWG, con 245,771 sitios de phishing únicos detectados en el mismo mes. Aunque el número cayó en febrero, en marzo volvió la curva ascendente y superó los 200.000 sitios web maliciosos. Es importante tener en cuenta que desde abril de 2020 hasta marzo de 2021, existe una curva ascendente continua en la actividad de phishing.
El sector más afectado por los ataques de phishing sigue siendo el financiero, que registró el 24,9% de los intentos de phishing durante el primer trimestre, seguido de las redes sociales con el 23,6% y los proveedores de servicios de correo electrónico a través de sitios web .web con el 19,6%.
Otro elemento que creció fue la cantidad de correos electrónicos que registraron textos únicos en el campo de asunto del correo electrónico, con un total de 172.793 temas diferentes en un mismo mes. En este caso, después del pico de enero, el número de casos únicos se redujo a menos de 50.000 en marzo.
Por otro lado, el número de organizaciones cuya imagen se utilizó en estos ataques de ingeniería social superó las 400 en cada uno de los meses del primer trimestre de 2021, llegando a 465 el número de marcas utilizadas en campañas de phishing en marzo.
Los ataques de phishing dirigidos a los usuarios de redes sociales aumentaron del 11,8% en el último trimestre de 2020 al 23,6% durante los primeros tres meses de 2021, y los ciberdelincuentes lanzaron ataques destinados a secuestrar cuentas de redes sociales a posibles accesos de mercado en los mercados de la web oscura.
Más pequeño en términos porcentuales, pero digno de mención, el 7,6% de los ataques se dirigieron al comercio electrónico y el 5,8% a los servicios de logística o paquetería.
Algo que mencionamos en varias campañas de phishing analizadas la última vez confirma que ya no basta con comprobar si un sitio web es seguro o no analizando si tiene HTTPS, ya que el 83% de los sitios web detectados utilizan este protocolo.
Por otro lado, las estafas conocidas como BEC (Business Email Compromise), que son engaños dirigidos a los departamentos financieros de las organizaciones y que generalmente utilizan el correo electrónico para hacerse pasar por una persona de confianza, como un empleado de la propia organización o de una empresa colaboradora. y solicite el envío de una transferencia de dinero.
Según el informe de APWG, el monto promedio de transferencias solicitadas bajo este tipo de fraude conocido como BEC en el primer trimestre de 2021 fue de $ 85,000, lo que representa un nuevo pico histórico. El monto promedio en el último trimestre de 2020 fue de $ 75,000.
Por último, cabe destacar que los ataques de ingeniería social, principalmente phishing, son responsables del 20% de los incidentes de seguridad registrados por empresas latinoamericanas durante el año 2020, según datos del ESET Security Report 2021.