El 73% de los sitios de phishing se hacen pasar por páginas relacionadas con productos de Microsoft. Además, los piratas informáticos acceden al 50% de las cuentas comprometidas en 12 horas, y en una semana, 9 de cada 10 cuentas son completamente controladas por los actores de amenazas.
Lo anterior se desprende de un informe de Agari, el cual agrega que los ciberdelincuentes se hicieron pasar por las páginas de inicio de sesión de la cuenta de Microsoft en el 60% de los sitios de phishing.
Dado que los productos de Microsoft se utilizan ampliamente en todo el mundo, los hackers encuentran en ellos los mejores objetivos para buscar vulnerabilidades.
Los actores de amenazas imitaron las páginas de inicio de sesión de Adobe Document Cloud en el 26% de los sitios web de phishing. Al tener acceso a la nube, los ciberdelincuentes podrían inyectar archivos maliciosos en documentos como malware o ransomware.
Los ciberdelincuentes utilizaron páginas de inicio de sesión de Microsoft SharePoint falsas en el 8% de sus sitios de phishing. Una vez que tienen el control de la cuenta, cargan un archivo malicioso y luego cambian el permiso para compartir el archivo a ‘público’, lo que permite que cualquiera pueda difundir más el enlace.
Las páginas de inicio de sesión de Microsoft Office 365 y OneDrive fueron suplantadas por ciberdelincuentes en el 3% y el 2% de los sitios de phishing, respectivamente.
Los actores de amenazas accedieron al 23% de todas las cuentas inmediatamente después del compromiso. Los atacantes probablemente se apoderaron de las cuentas con un script automatizado para validar la legitimidad de las credenciales. Después de una hora, había ocurrido la violación, los ciberdelincuentes se apoderaron manualmente del 18% de las cuentas.
Después de 6 horas, los piratas informáticos accedieron manualmente a 2 de cada 5 (40%) cuentas. En 12 horas, la mitad de las cuentas (50%) fueron tomadas por ciberdelincuentes.
Después de un día, los ciberdelincuentes se apoderaron manualmente del 64% de las cuentas. Finalmente, se había accedido a casi todas las cuentas, el 91%, dentro de una semana después del ataque.