Los ataques lookalike están en aumento
Por Ivan Sánchez, VP Sales LATAM de Infoblox.
Si crees que está viendo doble, probablemente así sea. Pareciera que ves doble dominios de sitios web, será?. La creciente amenaza de los lookalike domains, una forma específica de phishing en la que actores malintencionados utilizan dominios de sitios web visualmente similares para engañar a usuarios desprevenidos para que hagan clic en enlaces o visiten sitios web falsos, pueden pasarse por alto como un vector de ataque clave para los actores de amenazas. A medida que los usuarios han aprendido a examinar los enlaces en los correos electrónicos que reciben, y mientras la industria de la seguridad ha aumentado su capacidad para detectar amenazas automáticamente, los ciberdelincuentes siguen innovando y volviéndose más inteligentes en sus tácticas.
Los actores de amenazas han logrado llevar a las personas hacia lookalike domains en sus ataques a través de mensajes SMS, mensajes directos en las redes sociales y códigos QR. Por ejemplo, ¿ha oído hablar de los actores de amenazas que enviaron un mensaje SMS falso que parece provenir de la Oficina de Correos y que proporciona un enlace de seguimiento para su paquete? En este caso, cuando se hace clic en un enlace, es probable que el sitio web al que lo dirige se vea muy similar al sitio web original de la Oficina de Correos, lo que hace que sea mucho más difícil para el usuario darse cuenta de que ha sido engañado por un ataque de dominio similar. . ¿Qué pasa después? Los delincuentes recopilan datos personales que pueden conducir al robo de identidad.
¿Se pregunta cómo los piratas informáticos pueden llegar fácilmente a víctimas desprevenidas y engañarlas para que hagan clic en enlaces sospechosos? Esto se debe a que los ataques a lookalike domains a menudo comienzan en el nivel del sistema de nombres de dominio (DNS), que es el primer punto de ataque para muchos actores de amenazas. El uso más común de DNS es que las computadoras puedan encontrar contenido en Internet para un nombre de dominio.
Se puede acceder a Facebook/Meta, por ejemplo, a través del nombre de dominio facebook.com. Sin embargo, el DNS a menudo se pasa por alto y está desprotegido, lo que significa que si los piratas informáticos atraviesan esa capa DNS inicial con un ataque de dominio similar, a menudo pueden obtener acceso a una red completa. Aunque los usuarios desconfían de los correos electrónicos de remitentes desconocidos, estos nombres de dominio pueden parecer indistinguibles del dominio esperado y el usuario puede quedar desprevenido.
El uso de lookalike domains es rentable para los actores de amenazas porque es un ataque asimétrico. Desafortunadamente, los precios económicos de registro de dominios y la capacidad de distribuir ataques a gran escala dan a los actores la ventaja. Si bien las técnicas para identificar actividades maliciosas han mejorado recientemente, todavía resulta cada vez más difícil para las organizaciones mantener el ritmo. De hecho, los piratas informáticos pueden comprar kits de herramientas en la web oscura por sólo 300 dólares, lo que permite lanzar estos ataques a gran escala con poco o ningún esfuerzo.
Infoblox analiza más de 70 mil millones de eventos de DNS diariamente para encontrar amenazas nuevas y potenciales. Aquí hay cuatro tipos de ataques de lookalike domains, en particular, a los que todas las organizaciones deberían estar atentas:
- Homographs u homoglyphs utilizan caracteres visualmente similares de diferentes conjuntos de caracteres, como el cirílico o el griego, para crear nombres de dominio que parecen idénticos a los legítimos (por ejemplo, sustituyendo “o” por “0”). Lo que hace que los homógrafos sean particularmente efectivos es que la diferencia entre los caracteres individuales no siempre se distingue claramente, dependiendo de las fuentes y tipos de letra utilizados.
- Typosquats incluyen errores tipográficos furtivos al registrar dominios que se parecen mucho a sitios web populares (por ejemplo, sustituir “amazonn[.]com” por “amazon[.]com”) para llevar a los usuarios a un sitio web fraudulento. A menudo, los typosquats se utilizan para dominios populares que ya están registrados para obtener ganancias financieras y dinero publicitario, pero los actores maliciosos también se “ocupan” en estos dominios con sitios web que visualmente se acercan a lo que los usuarios esperan ver.
- Combosquats combinan nombres de marcas o empresas conocidas con otras palabras clave como “correo”, “seguridad” o “soporte”. Por ejemplo, el dominio wordpresssecurityt[.]store puede ser buscado en Google por los usuarios de WordPress que buscan ayuda, pero en realidad tiene una dirección IP basada en Rusia. Según el informe de Infoblox, alrededor del 60% de estos dominios abusivos de ocupación combinada permanecen activos durante más de 1.000 días, y sólo el 20% son denunciados y bloqueados después de 100 días. La combosquatting es aproximadamente 100 veces más frecuente que la typosquatting.
- Soundsquats son la forma más reciente de amenazas similares, que utilizan nombres de dominio que suenan similares a los legítimos cuando se pronuncian en voz alta (por ejemplo, “hsbsee[.]com” en lugar de “hsbc[.]com”). Esto puede engañar a los usuarios que escuchan un dominio en lugar de leerlo, y se ha investigado su posible impacto en dispositivos inteligentes como Google Home, Siri y Alexa.
Si bien estos cuatro enfatizan diferentes tipos de ataques, los actores de amenazas rara vez se ciñen a uno de estos carriles. A menudo intentan utilizar una combinación de estas técnicas para defraudar a los usuarios y atacar a las empresas. Los lookalike domains están diseñados para engañar a los consumidores y, si bien algunos pueden ser buenos para detectarlos, solo se necesita que una o dos personas interactúen con estos dominios para activar los efectos del ataque.
Si bien saber cómo detectar lookalike domains es clave, no lo protegerá completamente de ser víctima de uno. Una de las mejores formas de mantenerse protegido contra ataques de lookalike domains es contar con una sólida estrategia de seguridad de DNS ya implementada, ya que puede ayudar a detectar y bloquear ataques de lookalike domains antes.
Es importante contar con una solución de seguridad DNS que ofrezca una capacidad de monitoreo de lookalike domains que funcione para identificar sitios que intentan hacerse pasar por marcas de empresas que se utilizan cada vez más para engañar a los consumidores con phishing, publicidad maliciosa y ataques similares.
Detectar y no ser víctima de este tipo de ataques es crucial, pero la capacidad de eliminar lookalike domains es igualmente importante. Los ataques a lookalike domains son cada vez más sofisticados y prevalentes, lo que hace que las soluciones especializadas como la seguridad DNS sean imprescindibles para todos.