Suscríbete para recibir notificaciones de nuevas publicaciones:

Las 50 marcas más utilizadas en ataques de phishing y las nuevas herramientas que puedes utilizar para proteger a tus usuarios

2023-03-13

4 min de lectura
Esta publicación también está disponible en English, Français, Deutsch, 日本語 y 简体中文.

Es posible que alguna persona de tu organización simplemente haya enviado al sitio web equivocado un nombre de usuario y contraseña de administrador para un sistema interno. Y, simplemente así, un atacante ahora puede exfiltrar datos confidenciales.

Top 50 most impersonated brands in phishing attacks and new tools you can use to protect your employees from them

¿Cómo ha sucedido? Un correo electrónico ingeniosamente diseñado.

La detección, el bloqueo y la mitigación de los riesgos de los ataques de phishing es probablemente uno de los mayores desafíos que afronta constantemente cualquier equipo de seguridad.

A partir de hoy, abrimos el acceso beta a nuestras nuevas herramientas de protección de marca y contra el phishing directamente desde el panel de control de nuestro Centro de seguridad. Esto te permite detectar y mitigar las campañas de phishing que tengan como objetivo tu organización, incluso antes de que se lleven a cabo.

El desafío de los ataques de phishing

Quizás el vector de amenaza más conocido de los últimos meses ha sido los ataques de phishing. Estos ataques son muy sofisticados y difíciles de detectar, cada vez son más frecuentes y pueden tener consecuencias devastadores para las empresas que los sufren.

Uno de los mayores desafíos para evitar los ataques de phishing es su enorme volumen y la dificultad para distinguir los sitios web y los correos electrónicos legítimos de los fraudulentos. Incluso cuando los usuarios se mantienen alerta, puede ser difícil detectar las sutiles diferencias que los atacantes aprovechan para lograr que sus sitios web y sus correos electrónicos de phishing resulten convincentes.

Por ejemplo, en julio pasado, nuestro conjunto de productos Cloudflare One y el uso de claves de seguridad físicas impidieron el sofisticado ataque de phishing "Oktapus" cuyo objetivo eran los empleados de Cloudflare. El responsable del ataque "Oktapus", que logró poner en riesgo más de cien empresas, registró el nombre de dominio "cloudflare-okta.com" apenas 40 minutos antes de enviarlo a nuestros empleados.

En ese momento, identificábamos los dominios de phishing con nuestro producto de registrador seguro, pero la recepción de la lista de nuevos dominios registrados para la supervisión se recibía con retraso. Hoy día, al optimizar los nuevos dominios observados resueltos por nuestro producto de resolución 1.1.1.1 (y otros productos de resolución), podemos detectar los dominios de phishing prácticamente al instante. Esto nos otorga ventaja y nos permite bloquear los intentos de phishing antes de que se realicen.

Para ayudarte a afrontar este desafío continuado, queremos empezar a proporcionar a nuestros clientes acceso a las mismas herramientas que utilizamos internamente.

Nuevas herramientas de protección de marca y de protección contra el phishing en el Centro de seguridad de Cloudflare

Ampliamos la protección contra el phishing para los clientes de Cloudflare One a través de la identificación y el bloqueo de dominios "confusos" de manera automática. Los atacantes suelen registrar errores ortográficos comunes (cloudfalre.com) y concatenar servicios (cloudflare-okta.com)  para engañar a víctimas incautas y conseguir que envíen información privada, como contraseñas. Estas nuevas herramientas proporcionan una capa adicional de protección contra este tipo de comportamientos.

Las nuevas herramientas de protección contra el phishing y de protección de marca están disponibles en el Centro de seguridad de Cloudflare. Proporcionan a nuestros clientes aún más controles (p. ej., cadenas personalizadas para la supervisión, listas de búsqueda de dominios históricos, etc.). Los clientes de los planes de Cloudflare One pueden acceder a ellas, con el nivel de control, la visibilidad y la automatización según su tipo de plan.

Nuevas funciones de comparación y de alerta para las marcas y dominio

Our new brand protection interface

El aspecto fundamental de nuestra nueva función de protección de marca es nuestra capacidad para detectar los nombres de host creados específicamente para realizar el phishing de marcas legítimas. Empezamos supervisando la primera utilización de un dominio o subdominio filtrando los billones de consultas DNS diarias realizadas a 1.1.1.1, el solucionador de DNS público de Cloudflare, para compilar una lista de nombres de host en el entorno por primera vez.

Con esta lista, realizamos una comparación "aproximada", una técnica utilizada para comparar dos cadenas que son similares en significado u ortografía, respecto a los patrones guardados de nuestros usuarios, en tiempo real. Comparamos las cadenas y calculamos una puntuación de similitud en función de diversos factores (p. ej., fonética, distancia, coincidencia de subcadenas). Estos patrones guardados, que pueden ser cadenas con distancias de edición, permiten a nuestros sistemas generar alertas cada vez que detectamos una coincidencia con cualquiera de los dominios de la lista.

Actualmente, nuestros usuarios deben crear y guardar estas consultas. Sin embargo, más adelante añadiremos un sistema de comparación automática. Este sistema simplificará el proceso de detección de coincidencias para nuestros usuarios. No obstante, las cadenas personalizadas seguirán estando disponibles para que los equipos de seguridad puedan realizar el seguimiento de patrones más complejos.

Búsquedas históricas

Brand protection alerts

Además de la supervisión en tiempo real, ofrecemos búsquedas históricas (consultas guardadas) y alertas para los nuevos dominios observados durante los últimos 30 días. Cuando se crea un nuevo patrón, mostramos los resultados de la búsqueda de los últimos 30 días para revelar cualquier coincidencia potencial. Esto permite a los equipos de seguridad evaluar el nivel de amenaza potencial de un nuevo dominio y adoptar las medidas necesarias.

Además, también es posible utilizar este mecanismo de búsqueda para la búsqueda aleatoria de dominios, y proporcionar flexibilidad adicional a los equipos de seguridad que podrían tener que investigar dominios o patrones específicos.

Observaciones en el entorno: marcas más utilizadas para el phishing

Al desarrollar estas nuevas herramientas de protección de marca, queríamos probar nuestras capacidades en un amplio conjunto de marcas utilizadas habitualmente para el phishing. Para ello, analizamos la frecuencia de resolución de los dominios que contenían las URL de phishing respecto a nuestro solucionador 1.1.1.1. Eliminamos del conjunto de datos todos los dominios utilizados para servicios compartidos (como el alojamiento de sitios, Google, Amazon, GoDaddy) que no se podían verificar como intento de phishing.

En la tabla siguiente encontrarás las 50 marcas que hemos identificado como las más utilizadas, junto con uno de los dominios más frecuentemente utilizados para los intentos de phishing con esas marcas.

.tg {border-collapse:collapse;border-color:#ccc;border-spacing:0;} .tg td{background-color:#fff;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;overflow:hidden;padding:10px 5px;word-break:normal;} .tg th{background-color:#f0f0f0;border-color:#ccc;border-style:solid;border-width:1px;color:#333; font-family:Arial, sans-serif;font-size:14px;font-weight:normal;overflow:hidden;padding:10px 5px;word-break:normal;} .tg .tg-1wig{font-weight:bold;text-align:left;vertical-align:top} .tg .tg-lqy6{text-align:right;vertical-align:top} .tg .tg-0lax{text-align:left;vertical-align:top}

Rank Brand Sample domain used to phish brand[1]
1 AT&T Inc. att-rsshelp[.]com
2 PayPal paypal-opladen[.]be
3 Microsoft login[.]microsoftonline.ccisystems[.]us
4 DHL dhlinfos[.]link
5 Meta facebookztv[.]com
6 Internal Revenue Service irs-contact-payments[.]com
7 Verizon loginnnaolcccom[.]weebly[.]com
8 Mitsubishi UFJ NICOS Co., Ltd. cufjaj[.]id
9 Adobe adobe-pdf-sick-alley[.]surge[.]sh
10 Amazon login-amazon-account[.]com
11 Apple apple-grx-support-online[.]com
12 Wells Fargo & Company connect-secure-wellsfargo-com.herokuapp[.]com
13 eBay, Inc. www[.]ebay8[.]bar
14 Swiss Post www[.]swiss-post-ch[.]com
15 Naver uzzmuqwv[.]naveicoipa[.]tech
16 Instagram (Meta) instagram-com-p[.]proxy.webtoppings[.]bar
17 WhatsApp (Meta) joingrub-whatsapp-pistol90[.]duckdns[.]org
18 Rakuten rakutentk[.]com
19 East Japan Railway Company www[.]jreast[.]co[.]jp[.]card[.]servicelist[].bcens[.]net
20 American Express Company www[.]webcome-aexp[.]com
21 KDDI aupay[.]kddi-fshruyrt[.]com
22 Office365 (Microsoft) office365loginonlinemicrosoft[.]weebly[.]com
23 Chase Bank safemailschaseonlineserviceupgrade09[.]weebly[.]com
24 AEON aeon-ver1fy[.]shop
25 Singtel Optus Pty Limited myoptus[.]mobi
26 Coinbase Global, Inc. supp0rt-coinbase[.]com
27 Banco Bradesco S.A. portalbradesco-acesso[.]com
28 Caixa Econômica Federal lnternetbanklng-caixa[.]com
29 JCB Co., Ltd. www[.]jcb-co-jp[.]ascaceeccea[.]ioukrg[.]top
30 ING Group ing-ingdirect-movil[.]com
31 HSBC Holdings plc hsbc-bm-online[.]com
32 Netflix Inc renew-netflix[.]com
33 Sumitomo Mitsui Banking Corporation smbc[.]co[.]jp[.]xazee[.]com
34 Nubank nuvip2[.]ru
35 Bank Millennium SA www[.]bankmillenium-pl[.]com
36 National Police Agency Japan sun[.]pollice[.]xyz
37 Allegro powiadomienieallegro[.]net
38 InPost www.inpost-polska-lox.order9512951[.]info
39 Correos correosa[.]online
40 FedEx fedexpress-couriers[.]com
41 LinkedIn (Microsoft) linkkedin-2[.]weebly[.]com
42 United States Postal Service uspstrack-7518276417-addressredelivery-itemnumber.netlify[.]app
43 Alphabet www[.]googlecom[.]vn10000[.]cc
44 The Bank of America Corporation baanofamericase8[.]hostfree[.]pw
45 Deutscher Paketdienst dpd-info[.]net
46 Banco Itaú Unibanco S.A. silly-itauu[.]netlify[.]app
47 Steam gift-steam-discord[.]com
48 Swisscom AG swiss-comch[.]duckdns[.]org
49 LexisNexis mexce[.]live
50 Orange S.A. orange-france24[.]yolasite[.]com

Clasificación

Marca

Dominio de ejemplo utilizado para realizar phishing con la marca[1]

Example of a DNS policy rule to block confusable domains

1

AT&T Inc.

att-rsshelp[.]com

2

PayPal

paypal-opladen[.]be

3

Microsoft

login[.]microsoftonline.ccisystems[.]us

4

DHL

dhlinfos[.]link

5

Meta

facebookztv[.]com

6

Internal Revenue Service

irs-contact-payments[.]com

7

Verizon

loginnnaolcccom[.]weebly[.]com

8

Mitsubishi UFJ NICOS Co., Ltd.

cufjaj[.]id

9

Adobe

adobe-pdf-sick-alley[.]surge[.]sh

10

Amazon

login-amazon-account[.]com

11

Apple

apple-grx-support-online[.]com

12

Wells Fargo & Company

connect-secure-wellsfargo-com.herokuapp[.]com

13

eBay, Inc.

www[.]ebay8[.]bar

14

Swiss Post

www[.]swiss-post-ch[.]com

15

Naver

uzzmuqwv[.]naveicoipa[.]tech

16

Instagram (Meta)

instagram-com-p[.]proxy.webtoppings[.]bar

17

WhatsApp (Meta)

joingrub-whatsapp-pistol90[.]duckdns[.]org

18

Rakuten

rakutentk[.]com

19

East Japan Railway Company

www[.]jreast[.]co[.]jp[.]card[.]servicelist[].bcens[.]net

20

American Express Company

www[.]webcome-aexp[.]com

21

KDDI

aupay[.]kddi-fshruyrt[.]com

22

Office365 (Microsoft)

office365loginonlinemicrosoft[.]weebly[.]com

23

Chase Bank

safemailschaseonlineserviceupgrade09[.]weebly[.]com

24

AEON

aeon-ver1fy[.]shop

25

Singtel Optus Pty Limited

myoptus[.]mobi

26

Coinbase Global, Inc.

supp0rt-coinbase[.]com

27

Banco Bradesco S.A.

portalbradesco-acesso[.]com

28

Caixa Econômica Federal

lnternetbanklng-caixa[.]com

29

JCB Co., Ltd.

www[.]jcb-co-jp[.]ascaceeccea[.]ioukrg[.]top

30

ING Group

ing-ingdirect-movil[.]com

31

HSBC Holdings plc

hsbc-bm-online[.]com

32

Netflix Inc

renew-netflix[.]com

33

Sumitomo Mitsui Banking Corporation

smbc[.]co[.]jp[.]xazee[.]com

34

Nubank

nuvip2[.]ru

35

Bank Millennium SA

www[.]bankmillenium-pl[.]com

36

National Police Agency Japan

sun[.]pollice[.]xyz

37

Allegro

powiadomienieallegro[.]net

38

InPost

www.inpost-polska-lox.order9512951\[.\]info

39

Correos

correosa[.]online

40

FedEx

fedexpress-couriers[.]com

41

LinkedIn (Microsoft)

linkkedin-2[.]weebly[.]com

42

United States Postal Service

uspstrack-7518276417-addressredelivery-itemnumber.netlify[.]app

43

Alphabet

www[.]googlecom[.]vn10000[.]cc

44

The Bank of America Corporation

baanofamericase8[.]hostfree[.]pw

45

Deutscher Paketdienst

dpd-info[.]net

46

Banco Itaú Unibanco S.A.

silly-itauu[.]netlify[.]app

47

Steam

gift-steam-discord[.]com

48

Swisscom AG

swiss-comch[.]duckdns[.]org

49

LexisNexis

mexce[.]live

50

Orange S.A.

orange-france24[.]yolasite[.]com

[1] Los sitios de phishing suelen servirse en una URL específica y no en la raíz, p. ej., hxxp://example.com/login.html en lugar de hxxp://example.com/. Aquí no se proporcionan las URL completas.

Combinar las funciones de información sobre amenazas con la implementación de Zero Trust

Las nuevas funciones son mucho más eficaces para aquellos clientes que utilizan nuestro conjunto de productos Zero Trust. De hecho, puedes bloquear fácilmente cualquier dominio confuso que encuentres tan pronto como se detecte creando reglas de política de DNS o Cloudflare Gateway. Esto evita inmediatamente que tus usuarios resuelvan dominios confusos o naveguen a sitios potencialmente maliciosos, deteniendo los ataques incluso antes de que se produzcan.

Mejoras futuras

Las nuevas funciones son solo el comienzo de nuestra cartera de soluciones de seguridad contra el phishing y la infracción de marcas.

Comparación con certificados SSL/TLS

Además de la comparación con los dominios, también tenemos prevista la comparación con los nuevos certificados SSL/TLS registrados en Nimbus, nuestro registro de transparencia de certificados. Mediante al análisis de los registros de transparencia de certificados, podemos identificar los certificados potencialmente fraudulentos que podrían utilizarse en los ataques de phishing. Esto es muy útil, puesto que los certificados normalmente se crean poco después del registro de dominio, en un intento de proporcionar al sitio de phishing más legitimidad con la compatibilidad con HTTPS.

Llenado automático de las listas administradas

Actualmente, los clientes pueden escribir las actualizaciones de las listas personalizadas referenciadas en una regla de bloqueo Zero Trust. No obstante, como hemos mencionado anteriormente, tenemos previsto añadir automáticamente los dominios para la actualización dinámica de las listas. Además, añadiremos automáticamente los dominios coincidentes a listas que se podrán utilizar en las reglas Zero Trust, p. ej. bloqueo desde Gateway.

Cambios de la propiedad de los dominios y otros metadatos

Por último, tenemos previsto proporcionar la capacidad de supervisar los dominios en busca de cambios de propiedad y otros metadatos, por ejemplo, el solicitante de registro, los servidores de nombres o las direcciones IP resueltas. Esto permitirá a los clientes realizar un seguimiento de los cambios en la principal información relacionada con sus dominios y, si es necesario, adoptar las medidas correspondientes.

Primeros pasos

Si eres un cliente Enterprise, inscríbete ya para obtener acceso a la versión beta de la solución de protección de marca para conseguir la función de análisis privado de tus dominios, guardar consultas y configurar alertas acerca de dominios coincidentes.

Protegemos redes corporativas completas, ayudamos a los clientes a desarrollar aplicaciones web de forma eficiente, aceleramos cualquier sitio o aplicación web, prevenimos contra los ataques DDoS, mantenemos a raya a los hackers, y podemos ayudarte en tu recorrido hacia la seguridad Zero Trust.

Visita 1.1.1.1 desde cualquier dispositivo para empezar a usar nuestra aplicación gratuita y beneficiarte de una navegación más rápida y segura.

Para saber más sobre nuestra misión para ayudar a mejorar Internet, empieza aquí. Si estás buscando un nuevo rumbo profesional, consulta nuestras ofertas de empleo.
Security Week (ES)PhishingNoticias de productos

Síguenos en X

Alexandra Moraru|@alexandramoraru
Patrick R. Donahue|@prdonahue
Cloudflare|@cloudflare

Publicaciones relacionadas

08 de octubre de 2024, 13:00

Cloudflare acquires Kivera to add simple, preventive cloud security to Cloudflare One

The acquisition and integration of Kivera broadens the scope of Cloudflare’s SASE platform beyond just apps, incorporating increased cloud security through proactive configuration management of cloud services. ...

27 de septiembre de 2024, 13:00

AI Everywhere with the WAF Rule Builder Assistant, Cloudflare Radar AI Insights, and updated AI bot protection

This year for Cloudflare’s birthday, we’ve extended our AI Assistant capabilities to help you build new WAF rules, added new AI bot & crawler traffic insights to Radar, and given customers new AI bot blocking capabilities...

26 de septiembre de 2024, 13:00

Making Workers AI faster and more efficient: Performance optimization with KV cache compression and speculative decoding

With a new generation of data center accelerator hardware and using optimization techniques such as KV cache compression and speculative decoding, we’ve made large language model (LLM) inference lightning-fast on the Cloudflare Workers AI platform....

26 de septiembre de 2024, 13:00

Zero-latency SQLite storage in every Durable Object

Traditional cloud storage is inherently slow because it is accessed over a network and must synchronize many clients. But what if we could instead put your application code deep into the storage layer, such that your code runs where the data is stored? Durable Objects with SQLite do just that. ...