Los estafadores de phishing explotan el alojamiento web Wix

A los ciberdelincuentes les gusta subvertir servicios en línea legítimos como Google Docs y Dropbox para llevar a cabo sus actividades maliciosas. La empresa de alojamiento de sitios web gratuito Wix es la última incorporación a la lista de servicios de los que han abusado.

Los investigadores de la compañía de seguridad Cyren descubrieron que los estafadores estaban creando sitios de phishing diseñados para recolectar credenciales de inicio de sesión de Office 365 a través de Wix, que ofrece un editor simple de hacer clic y arrastrar para crear páginas web. Como suele ocurrir con los servicios gratuitos, los delincuentes están aprovechando estas herramientas para realizar sus operaciones.

El sitio de phishing parece una nueva ventana del navegador abierta a una página de inicio de sesión de Office 365. De hecho, es una captura de pantalla de una página de inicio de sesión de Office 365 con campos editables superpuestos en la imagen. Los usuarios pensarían que el sitio es legítimo e ingresarán las credenciales de inicio de sesión, excepto que la información se ingresa en los campos de la superposición y no en la página real de Office 365.

En el escritorio, la superposición está bien, pero el hecho de que los campos estén separados de la imagen es mucho más obvio en el dispositivo móvil, dijo Cyren.

Los criminales también están pensando en formas de permanecer bajo el radar de Wix. Por ejemplo, no hay texto en la página (todo es una imagen) y el campo de contraseña está mal escrito como "passvvord". Los atacantes pueden haber tomado estas decisiones asumiendo que Wix tiene un proceso de escaneo automatizado que verifica el contenido del sitio para marcar sitios potencialmente malos.

Los atacantes pueden haber diseñado las páginas para hacer pensar al usuario que algo había abierto una nueva ventana del navegador, dijo el investigador de Cyren Avi Turiel. También podría ser una señal de pereza, ya que el atacante toma una captura de pantalla de la página de inicio de sesión original y no se molesta en editar la imagen. "Tal vez sea una prueba para ver si funciona, por lo que se puso menos esfuerzo", dijo Turiel.

A los delincuentes les gusta alojar malware en servicios de almacenamiento en la nube o construir su infraestructura de ataque con proveedores legítimos para sortear las defensas de seguridad comunes. Los usuarios, incluso aquellos que han sido capacitados para examinar los enlaces en busca de posibles ataques de spam o phishing, no lo piensan dos veces antes de hacer clic en enlaces a dominios y servicios populares porque están condicionados a trabajar con esas herramientas. Las organizaciones tampoco pueden bloquear los dominios populares y los proveedores de servicios ampliamente adoptados. En algunos casos, es posible que los productos de seguridad web ni siquiera escaneen las URL porque los productos se consideran confiables.

También ayuda que estos servicios sean gratuitos. Los atacantes obtienen el beneficio de un dominio válido sin tener que gastar dinero.

Cyren no sabía cómo se envía a los usuarios a las páginas de Wix. Una redirección del navegador o una campaña de ingeniería social podría llevar a los usuarios al sitio. Las páginas maliciosas han sido reportadas a Wix, pero los administradores deben dejar de pensar en ciertos sitios como confiables. Incluso el sitio más benigno se puede utilizar de forma maliciosa.