“La efectividad de Google AdWords está siendo aprovechada por los cibercriminales para llevar a cabo sus esquemas de phishing.” Afirma, Fernando Cuervo, Líder de DetectMonitoringService y Experto en Seguridad de EasySolutions.
Hace tan solo dos años, más de una tercera parte de los usuarios de Google no sabían que Google AdWords eran anuncios publicitarios. Quizás esto explique por qué en una encuesta de la firma consultora Bunnyfoot de 2014 se determinó que el 81 por ciento de usuarios de Internet en algún momento habían hecho clic en anuncios de Google AdWords en vez de en los resultados normales mostrados después de tales anuncios.
“La gran cantidad de gente que accede a estos anuncios cada minuto ha hecho que se conviertan en un atractivo blanco para una variedad de ciberataques, lo cual es sólo un ejemplo más de cómo los cibercriminales están en capacidad de obtener información sensitiva a través del phishing, y más específicamente, del spear-phishing.” Explica el ejecutivo.
¿Cómo lo hacen?
Si bien las ganancias individuales pueden ser relativamente bajas, la recompensa real radica en los datos recolectados. Esta forma de malware publicitario o “malvertising” hace que los usuarios que hagan clic en anuncios falsos (fig. 1) se vean redirigidos a sitios web fraudulentos, donde inadvertidamente pueden revelar importante información personal. Esta información puede ser luego utilizada en fraudes sin tarjeta presente o en ataques de spear-phishing mucho más rentables.
Fig. 1
Parte del atractivo (y del problema) de AdWords es su relativa facilidad de uso desde la perspectiva del atacante. Con solo unos datos básicos, los criminales pueden adquirir un espacio AdWords en Google (Google no requiere ninguna prueba de que usted realmente sea el propietario o representante de la marca), crear su anuncio y redirigir a los usuarios a un sitio fraudulento previamente definido. En muchos casos, la URL fraudulenta es muy similar a la real, haciendo muy difícil que los usuarios adviertan que van a ser estafados.
Y no solo Google AdWords es susceptible a este tipo de ataques. Bing, AOL y Yahoo se encuentran en la misma situación. De hecho, los atacantes han mostrado cierta preferencia por Bing, ya que en este buscador los atacantes pueden esconder su URL falsa y dificultar aún más que los usuarios sepan que hicieron clic en un anuncio falso.
Pero los usuarios finales no son los únicos perjudicados por este tipo de fraude. Las compañías por ejemplo pueden sufrir daños a su reputación como resultado de fraudes que tomen provecho de su marca, además de que alguno de sus empleados que caiga víctima de un ataque spear-phishing puede abrir la puerta a esquemas de fraude mucho más severos.
“Según un estudio que realizamos recientemente en EasySolutions, los ataques de phishing se han convertido en el equivalente online al robo callejero, con pérdidas anuales que alcanzan más de 2 mil millones de dólares. Pero aparte de las pérdidas monetarias, las organizaciones víctimas de ataques que utilicen su marca puede que nunca recobren la confianza de sus clientes” (Ver Fig. 2 y 3). Cuenta el ejecutivo.
Fig. 2 Fig. 3
Es crucial que las organizaciones garanticen el monitoreo de su marca a través de todos los canales preferidos por el cibercrimen y facilitar así la rápida desactivación de sitios fraudulentos.
¿Pero cómo implementar esto? Al aprovechar servicios diseñados para identificar y monitorear dominios maliciosos, perfiles fraudulentos en redes sociales y aplicaciones falsas en todas las tiendas de aplicaciones, las compañías estarán en capacidad de detener y desactivar cualquier actividad relacionada con el phishing antes de que sus clientes se vean afectados.
En EasySolutions, trabajamos constantemente para ofrecer a nuestros clientes el tiempo de desactivación más rápido de la industria con 3.6 horas por incidente (en comparación, otros proveedores ofrecen 30 horas por incidente), lo cual nos permite detener amenazas incluso antes de que los usuarios se enteren de su existencia.
Con DetectMonitoringService (DMS) de EasySolutions, las organizaciones gozan de la protección de su marca a través de un completo servicio de inteligencia anti-fraude que reúne protección contra phishing, pharming y malware en un solo servicio. No existe una única línea de defensa contra el fraude electrónico actual, desde ataques mediante AdWords, hasta fraude sin tarjeta presente, pero con el portafolio de soluciones de prevención multinivel de nuestra estrategia de Protección Total contra Fraude®, las instituciones financieras pueden descansar tranquilas sabiendo que cualquier ataque de phishing dirigido contra ellas será ágilmente derribado antes de que alguien se vea afectado.