Categorías
Seguridad online

Informe de ciberamenazas con dominios 2019 de Botech

BOTECH es una compañía española especialista en ciberseguridad entre muchas otras cosas. Ha publicado el informe anual de ciberamenazas del año 2019 tras haber estudiado la evolución de phishing, malware bancario, apps maliciosas, fraudes en tarjetas y cibersquatting.

Estos son los delitos informáticos más frecuentes el año pasado y por ello la compañía se ha parado a investigarlos. El cibersquatting es uno de los más importantes, ya que sin que algunos usuarios lo noten los delincuentes suplantan dominios para hacer un uso fraudulento de ellos.

Categorías
Seguridad online

Bug permitía registrar dominios maliciosos

phishing dominios

Un bug en varios registradores de dominios importantes posibilitó que varios hacker pudieran registrar dominios maliciosos hasta finales de febrero para realizar sus estrategias de phishing suplantando a webs importantes como Google, Amazon, Apple y muchas otras.

Los ciberdelincuentes siguen aprovechándose del phishing para hacer sus fechorías, y dentro de ello los dominios son uno de los recursos que más suelen explotar.

Así consiguen los datos personales de usuarios de internet, pedir rescate tras el secuestro de dispositivos, vender sus credenciales y muchas otras cosas que les permiten obtener ingresos económicos con failidad.

Bug permite crear dominios falsos similares a webs conocidas

 En este caso, se han aprovechado de un bug para crear cientos de dominios falsos pero muy similares a webs originales conocidas. El error sucedió en registradores de dominios a la hora de sustituir caracteres como vocales, modificando letras del alfabeto latino por otras muy similares.

En teoría, registrarlos es ilegal, puesto que se podían usar para ataques maliciosos, razón por la que muchos navegadores web cambian los caracteres en la URL de Unicode a Punycode. Aunque en esta ocasión este bug permitió registrar docenas de nombres utilizando homoglifos latinos.

El experto Matt Hamilton asegura que entre 2017 y ahora más de una docena de dominios homógrafos han logrado certificados HTTPS activos, con importantes sitios afectados.

Se mantuvo el informe de Hamilton hasta que Verisign solucionó este problema, ya que solo se estudiaron los dominios que gestiona esta entidad.

Los falsos dominios registrados fueron concretamente:

  1. amɑzon.com
  2. chɑse.com
  3. sɑlesforce.com
  4. ɡmɑil.com
  5. ɑppɩe.com
  6. ebɑy.com
  7. ɡstatic.com
  8. steɑmpowered.com
  9. theɡuardian.com
  10. theverɡe.com
  11. washinɡtonpost.com
  12. pɑypɑɩ.com
  13. wɑlmɑrt.com
  14. wɑsɑbisys.com
  15. yɑhoo.com
  16. cɩoudfɩare.com
  17. deɩɩ.com
  18. gmɑiɩ.com
  19. gooɡleapis.com
  20. huffinɡtonpost.com
  21. instaɡram.com
  22. microsoftonɩine.com
  23. ɑmɑzonɑws.com
  24. ɑndroid.com
  25. netfɩix.com
  26. nvidiɑ.com
  27. ɡoogɩe.com

Solo hay que fijarse en el primer caso: amɑzon.com en realidad se trata de axn—amzon-1jc.com.

Por una baja cantidad que no llega ni a los 400 euros, se lograron registrar todos los dominios. No queremos imaginarnos las cantidades enormes que se pudieron ganar con el phising aprovechándolos.

Los ciberdelincuentes no dejaron escapar la oportunidad, como no podía ser menos. Aprovechan todo a su alcance para engañar a víctimas despistadas (en este caso quizá no tanto).

Los ataques de homógrafos han sido un problema para internet durante 15 años, una razón más para vigilar nuestra actividad en internet para prevenirnos de ataques informáticos.

Categorías
Seguridad online

Los estafadores usan fecha en los dominios para parecer url legítimas

Una de las nuevas estrategias que están utilizando los estafadores en internet es incluir la fecha al dominio para hacer parecer que se trata de la web legítima que intentan suplantar.

Caso operador EE y dominios con fecha

Esto sucedió concretamente en un operador inalámbrico, EE, en que los estafadores enviaron mensajes de texto con el dominio de aspecto legítimo (parecido al original pero añadiendo fecha) pidiendo a las personas que iniciaran sesión en esa url. Terence Eden descubrió que algo iba mal.

Si nos paramos a verlo, hay dos dominios, ee.co.uk y ee.co.uk.billing-update-jan02.info. Al verlo, cualquiera podría pensar que pertenecen al mismo dominio aunque viéndolo bien nos damos cuenta de que no.

Las víctimas desprevenidas podrían caer perfectamente en el engaño que se basa en añadir la fecha en los dominios maliciosos para falsificar webs legítimas.

Terence Eden, experto en informática de Reino Unido, se dio cuenta de esto tras haber recibido su mujer este mismo mensaje. El mensaje que le llegó fue «No pudimos procesar su última factura. Para evitar cargos, actualice su información de facturación a través de https: //ee.co.uk.billing-update-jan02.info». Al parecer un dominio legítimo y ser https podría parecer de confianza, pero no lo es.

La suerte que tuvo la mujer de Eden fue no tener cuenta en el operador EE, por lo que no fue engañada. Pero le llamó la atención que el dominio tuviera las letras jan02 que fue la fecha en que se envió el mensaje para parecer más legítima la url. No fijándose bien cualquiera podría caer en el engaño, y es algo que en época de prisas sucede muy a menudo.

La clave para darnos cuenta de que el dominio no es legítimo es la extensión, que evidentemente es .info y no .co.uk. Aunque despista el certificado SSL que lo hace parecer un sitio confiable.

Por suerte ahora este dominio ya está marcado por los navegadores como dominio malicioso, pero podría suceder con cualquier otro y no darnos cuenta.

Sí que nos llama la atención el ingenio para aprovechar los dominios de formas diferentes para engañar a víctimas despistadas. Cualquiera podría caer en el engaño en cualquier momento, y de eso se aprovechan.

Ver: post de Terence Eden