La importancia de Avalanche y otras estadísticas sobre Phishing

El Anti Phishing Working Group (APWG) publicó hace unas semanas su reporte semestral sobre el escenario del phishing a nivel mundial. En esta oportunidad, se analiza el estado de situación en el segundo semestre de 2009 (entre los meses de julio y diciembre). Bajo el título "Global Phishing Survey: Trends and Domain Name Use 2H2009", el reporte analiza la evolución de esta amenaza en todo el mundo y también en la región latinoamericana, con casos como los que hemos reportado en Colombia o República Dominicana, reportados en este mismo blog en las últimas semanas. Como bien indica el informe, el phishing es una amenaza atractiva para los atacantes ya que posee facilidades para realizar el ataque y fundamentalmente bajos costos.

En primer lugar, el informe centra su atención en Avalanche, un grupo de asociados de negocio dedicados a la realización de ataques de phishing que, según el análisis, han sido los responsables de dos tercios del phishing en el segundo semestre del 2009. Esto representa un aumento increíble para este grupo identificado a finales del 2008, ya que el mismo informe de APWG del primer semestre de 2009 había detectado que el 24% de estos ataques fueron realizados por este grupo. Avalanche ha centrado su atención en el envió de spam con enlaces hacia sitios de phishing, especialmente orientados a entidades financieras.

Se estima que más de 40 instituciones financieras prestigiosas fueron víctimas de los ataques de phishing de Avalanche. Además, se identificó un promedio de 40 ataques en cada dominio registrado por el grupo. Además, el informe identifica a este grupo de asociados como los responsables de diseminar el troyano Zeus con fines de envío de phishing. Aunque en los últimos dos meses (marzo y abril de 2010) se identificó una baja en la cantidad de ataques por parte de la infraestructura de Avalanche, los responsables del Anti Phishing Working Group dudan si esto es una buena noticia (que indique un cese de actividad) o tan sólo un descanso en preparación para mayor cantidad de ataques a futuro.

El informe arroja también algunos números básicos sobre los datos recolectados:

• En el semestre se identificaron 126,697 ataques de phishing, más que el doble de lo detectado en el periodo anterior.
• Los ataques fueron identificados en 28,775 nombre de dominio, en poco más de 2 mil direcciones IP únicas.
• El 76% de los ataques ocurrieron en Top Level Domains: .COM, .EU, .NET y .UK.

No todos son problemas, según el reporte. El tiempo de vida de los sitios de phishing (la duración que logran mantener los sitios online hasta que son dados de baja) ha disminuido respecto al período anterior, llegando a un promedio de 11 horas y 44 minutos (dos horas menos).

Tanto por las buenas como por las malas, los ataques de phishing son claramente un vector de ataque del que todos los usuarios deben estar atentos, ya que intenta robar información sensible que puede ser utilizada en segundo término para el robo de dinero del usuario, o la invasión de sus datos sensibles o privacidad.

Sebastián Bortnik
Analista de Seguridad