Los ataques de phishing siguen siendo un gran desafío para las organizaciones en 2025. De hecho, con los atacantes aprovechando cada vez más técnicas basadas en la identidad sobre las exploits de software, posiblemente plantee una amenaza anciano que nunca.
 |
| Los atacantes están aprovechando cada vez más las técnicas basadas en la identidad sobre las exploits de software, con credenciales de phishing y robo (un subproducto de phishing) ahora la principal causa de infracciones. Fuente: Verizon Dbir |
Los atacantes están aprovechando cada vez más las técnicas basadas en la identidad sobre las exploits de software, con credenciales de phishing y robo (un subproducto de phishing) ahora la principal causa de infracciones. Fuente: Verizon Dbir
Los atacantes están recurriendo a los ataques de identidad como el phishing porque pueden conquistar todos los mismos objetivos que lo harían en un punto final o ataque de red tradicional, simplemente iniciando sesión en la cuenta de una víctima. Y con las organizaciones que ahora usan cientos de aplicaciones de Internet en su fuerza sindical, el luces de las cuentas que se pueden impulsar o dirigir con credenciales robadas ha crecido exponencialmente.
Con los kits de phishing de by-bypassing de MFA, la nueva normalidad, capaz de cuentas de phishing protegidas por SMS, OTP y métodos basados en push, los controles de detección se están poniendo bajo presión constante a medida que los controles de prevención se quedan cortos.
Los atacantes están pasando por stop los controles de detección
La mayoría de la aplicación de detección y control de phishing se centra en el correo electrónico y la capa de red, generalmente en la puerta de enlace de correo electrónico segura (SEG), la puerta web segura (SWG)/proxy, o uno y otro.
Pero los atacantes saben esto y están tomando medidas para evitar estos controles, por:
- Evadiendo rutinariamente listas de bloques impulsadas por el COI rotando y actualizando dinámicamente principios comúnmente firmados como IP, dominios y URL.
- Prevención del descomposición de sus páginas de phishing mediante la implementación de la protección de bots como Captcha o Cloudflare Turnstile anejo con otros métodos de esparcimiento de detección.
- Cambiar los principios visuales y dom en la página para que incluso cuando se cargue la página, las firmas de detección puedan activar.
 |
| La implementación de verificaciones de bots como Clouflare Turnstile es una forma efectiva de evitar las herramientas de descomposición de Sandbox |
Y, de hecho, al difundir ataques múltiples y de canales cruzados, los atacantes están evadiendo por completo los controles por correo electrónico. Solo vea este ejemplo fresco, donde los atacantes que se hacen advenir por Onfido entregaron su ataque de phishing a través de anuncios maliciosos de Google (igualmente conocido como malvertida), pasando por stop el correo electrónico por completo.
 |
| Los atacantes están pasando por stop el correo electrónico atacando a sus víctimas a través de IM, las redes sociales, el uso de anuncios maliciosos y enviando mensajes utilizando aplicaciones de confianza |
Vale la pena señalar las limitaciones de las soluciones basadas en el correo electrónico aquí igualmente. El correo electrónico tiene algunos cheques adicionales en torno a la reputación del remitente y cosas como DMARC/DKIM, pero estos en ingenuidad no identifican maliciosos páginas. Del mismo modo, algunas soluciones de correo electrónico modernas están haciendo un descomposición mucho más profundo del contenido de un correo electrónico. Pero … eso positivamente no ayuda a identificar los sitios de phishing (solo indica que uno podría estar vinculado en el correo electrónico). Esto es mucho más apropiado para los ataques al estilo BEC donde el objetivo es diseñar a la víctima, en circunscripción de vincularlos a una página maliciosa. Y esto todavía no ayuda con los ataques lanzados en diferentes medios como hemos resaltado anteriormente.
Cómo la detección y respuesta basadas en el navegador pueden enrasar el campo de ocio
La mayoría de los ataques de phishing implican la entrega de un enlace desconfiado a un agraciado. El agraciado hace clic en el enlace y carga una página maliciosa. En la gran mayoría de los casos, la página maliciosa es un portal de inicio de sesión para un sitio web específico, donde el objetivo del atacante es robar la cuenta de la víctima.
Estos ataques están ocurriendo casi exclusivamente en el navegador de la víctima. Entonces, en circunscripción de construir más controles por correo electrónico o basados en la red que buscan desde el exógeno en las páginas de Phishing a las que se accede en el navegador, se presenta una gran oportunidad al construir la detección de phishing y las capacidades de respuesta adentro el navegador.
Cuando observamos la historia de la detección y la respuesta, esto tiene mucho sentido. Cuando los ataques de punto final se dispararon a fines de la decenio de 2000 / principios de 2010, aprovecharon el hecho de que los defensores estaban tratando de detectar malware con detecciones principalmente basadas en la red, descomposición de archivos basados en la firma y ejecutar archivos en cajas de arena (que fue derrotado de guisa confiable con malware de Sandbox y usar cosas tan simples como poner un retraso de ejecución en el código). Pero esto dio paso a EDR, que presentaba una mejor guisa de observar e interceptar software desconfiado en en tiempo efectivo.
 |
| EDR permitió la detección y respuesta en tiempo efectivo en el nivel del sistema activo en circunscripción de pender del tráfico con destino a y desde el punto final. |
La esencia aquí fue entrar en el flujo de datos para poder observar la actividad en tiempo efectivo en el punto final.
Estamos en una posición similar hoy. Los ataques modernos de phishing están ocurriendo en las páginas web a las que se accede a través del navegador, y las herramientas en las que confiamos (correo electrónico, red, incluso punto final) no tienen la visibilidad requerida. Están mirando desde exterior.
 |
| La detección coetáneo de phishing no está en el circunscripción correcto para observar y detener la actividad maliciosa en tiempo efectivo. |
Pero, ¿qué pasaría si pudiéramos hacer detección y respuesta de ¿Interiormente del navegador? Aquí hay tres razones por las cuales el navegador es mejor para detener los ataques de phishing:
#1: Analizar páginas, no enlaces
Las detecciones comunes de phishing se basan en el descomposición de enlaces o HTML pasmado en comparación con las páginas maliciosas. Las páginas de phishing modernas ya no son HTML estáticas, como la mayoría de las otras páginas web modernas, estas son aplicaciones web dinámicas representadas en el navegador, con JavaScript reescribiendo dinámicamente la página y el impulso del contenido desconfiado. Esto significa que las verificaciones más básicas y estáticas no pueden identificar el contenido desconfiado que se ejecuta en la página.
Sin un descomposición más profundo, depende de analizar cosas como dominios, URL y direcciones IP contra listas de bloques conocidas. Pero todos estos son en gran medida desechables. Los atacantes los compran a copioso, se hacen cargo constantemente de dominios legítimos y, en común, planean el hecho de que superarán muchos de ellos. La construcción de phishing moderna igualmente puede voltear y desempolvar dinámicamente los enlaces que sirvieron a los visitantes desde una piscina continuamente renovada (por lo que cada persona que hace clic en el enlace recibe una URL diferente) e incluso ir en cuanto a usar cosas como enlaces mágicos de una sola vez (lo que igualmente significa que cualquier miembro del equipo de seguridad que intente investigar la página más tarde no podrá hacerlo).
En última instancia, esto significa que las listas de bloques simplemente no son tan efectivas, porque es trivial que los atacantes cambien los indicadores que se usan para crear detecciones. Si piensa en la pirámide del dolor, estos indicadores se sientan en la parte inferior, el tipo de cosas de las que nos hemos estado alejando durante primaveras en el mundo de la seguridad del punto final.
Pero en el navegador, puede observar la página web renderizada en todo su notoriedad. Con una visibilidad mucho más profunda de la página (y sus principios maliciosos) puedes …
#2: Detectar TTP, no IOC
Incluso donde las detecciones basadas en TTP están en ocio, generalmente dependen de reunir las solicitudes de red o cargar la página en un sandbox.
Sin bloqueo, los atacantes se están volviendo suficiente buenos para eludir el descomposición de Sandbox, simplemente implementando la protección contra el bot al requerir la interacción del agraciado con una Captcha o CloudFlare Turnstile.
|
| La implementación de verificaciones de bots como Clouflare Turnstile es una forma efectiva de evitar las herramientas de descomposición de Sandbox |
Incluso si puede aventajar el torniquete, deberá suministrar los parámetros y encabezados de URL correctos, y ejecutar JavaScript, para cobrar la página maliciosa. Esto significa que un defensor que conoce el nombre de dominio no puede descubrir el comportamiento desconfiado simplemente haciendo una solicitud simple de HTTP (s) al dominio.
Y si todo esto no fue suficiente, igualmente están ofuscando principios visuales y dom para evitar que las detecciones basadas en la firma las recoja, por lo que incluso si puede aterrizar en la página, existe una gran posibilidad de que sus detecciones no activen.
Cuando use un proxy, tendrá cierta visibilidad del tráfico de red generado por un agraciado que accede e interactúa con una página. Sin bloqueo, tendrá dificultades para correlacionar acciones esencia como si el agraciado ingresó su contraseña con la pestaña específica al tratar con el gran tamaño de datos de tráfico de red desorganizados.
Pero obtienes una visibilidad mucho mejor de todo esto en el navegador, con ataque a:
- Tráfico HTTP descifrado completo: no solo DNS y metadatos TCP/IP
- Se puede rastrear el rastreo completo de interacción del agraciado: cada clic, teclado o cambio DOM
- Inspección completa en cada capa de ejecución, no solo HTML original servido
- Paso completo a las API del navegador, para correlacionarse con el historial del navegador, el almacenamiento específico, las cookies adjuntas, etc.
Esto le brinda todo lo que necesita para construir detecciones de inscripción fidelidad centradas en el comportamiento de la página y la interacción del agraciado, eso es mucho más difícil para los atacantes que se manifiestan en comparación con las detecciones basadas en COI.
 |
| Estar en el navegador le permite construir controles mucho más efectivos basados en TTPS |
Y con esta nueva visibilidad, porque estás en el navegador y ves la página al mismo tiempo que el agraciado está interactuando con ella, puedes …
#3: Intercept en tiempo efectivo, no post mortem
Para soluciones no traficantes, La detección de phishing en tiempo efectivo es básicamente inexistente.
En el mejor de los casos, su alternativa basada en el poder podría detectar el comportamiento desconfiado a través del tráfico de red generado por su agraciado que interactúa con la página. Pero correcto a la complejidad de la reconstrucción de las solicitudes de red posteriores a la ciencia TLS, esto generalmente ocurre con un retraso de tiempo y no es del todo confiable.
Si se marca una página, generalmente requiere una anciano investigación por parte de un equipo de seguridad para descartar cualquier inexacto positivo y comenzar una investigación. Esto puede tomar horas en el mejor de los casos, probablemente días. Luego, una vez que se identifica una página como maliciosa y se crean los COI, puede tomar días o incluso semanas Antiguamente de distribuir la información, los alimentos TI se actualizan y se ingieren en listas de bloques.
Pero en el navegador, estás observando la página en tiempo efectivo, como lo ve el agraciado, desde el interior del navegador. Este es un cambio de ocio cuando se negociación no solo de detectar, sino de interceptar y cerrar los ataques antiguamente de que un agraciado se finta y el daño se realice. Esto cambia el enfoque de la contención y la facilidad post mortem, a la intercepción previa al compromiso en tiempo efectivo.
El futuro de la detección y respuesta de phishing se base en el navegador
Push Security proporciona una alternativa de seguridad de identidad basada en el navegador que intercepta los ataques de phishing a medida que suceden, en los navegadores de los empleados. Estar en el navegador ofrece muchas ventajas cuando se negociación de detectar e interceptar ataques de phishing. Usted ve la página web en vivo que el agraciado ve, como la ve, lo que significa que tiene una visibilidad mucho mejor de principios maliciosos que se ejecutan en la página. Igualmente significa que puede implementar controles en tiempo efectivo que se activan cuando se detecta un pájaro desconfiado.
Cuando un ataque de phishing golpea a un agraciado con push, independientemente del canal de entrega, nuestra extensión del navegador inspecciona la página web que se ejecuta en el navegador del agraciado. Push observa que la página web es una página de inicio de sesión y el agraciado está ingresando su contraseña en la página, detectando eso:
- La contraseña que el agraciado ingresa al sitio de phishing se ha utilizado para iniciar sesión en otro sitio anteriormente. Esto significa que la contraseña se está reutilizando (mala) o el agraciado está siendo eliminado (aún peor).
- La página web está clonada desde una página de inicio de sesión legítima que ha sido huelga de huellas digitales por Push.
- Un kit de herramientas de phishing se está ejecutando en la página web.
Como resultado, el agraciado se bloquea para interactuar con el sitio de phishing y se le impide continuar.
Estos son buenos ejemplos de detecciones que son difíciles (o imposibles) para que un atacante evite: ¡no se puede poner a una víctima si no pueden ingresar sus credenciales en su sitio de phishing! Obtenga más información sobre cómo Push detecta y bloquea los ataques de phishing aquí.
 |
| Push evita que los usuarios accedan a las páginas de phishing cuando se detecten en el navegador. |
Obtenga más información
No se detiene allí: Push proporciona capacidades integrales de detección de ataque de identidad y respuesta contra técnicas como relleno de credenciales, pulverización de contraseñas y secuestro de sesión utilizando tokens de sesión robados. Igualmente puede usar Push para encontrar y solucionar vulnerabilidades de identidad en cada aplicación que usan sus empleados: Iniciar sesión espectro; Brechas de cobertura de SSO; Brechas de MFA; contraseñas débiles, violadas y reutilizadas; Integraciones arriesgadas de OAuth; y más.
Si desea obtener más información sobre cómo Push lo ayuda a detectar y derrotar técnicas de ataque de identidad comunes, reserve poco de tiempo con uno de nuestro equipo para una demostración en vivo, o registre una cuenta para probarlo de forma gratuita. Echa un vistazo a nuestra explorador de inicio rápido aquí.
