Lookalike domains, una creciente amenaza para todo tipo de organizaciones

“Todos el mundo en el punto de mira”: los actores que falsifican dominios apuntan no sólo a grandes organizaciones mundialmente conocidas, sino a pequeñas empresas y negocios, desde restaurantes a firmas de abogados.

El plagio de dominios se sofistica: no sólo el dominio fraudulento es en ocasiones indistinguible del original, sino que se plagian incluso las interfaces de los mecanismos de autenticación multifactor (MFA) para incrementar la credibilidad del sitio y hacer pensar al usuario que la conexión es segura.

El objetivo de estos lookalike domains es diverso, desde phising de datos personales a infectar sistemas con malware para acceder a redes corporativas y hacerse con el control de los mismos (ataques C2).

.- Infoblox Inc., compañía especializada en plataformas de red y seguridad cloud native que simplifican la gestión segura de servicios core de red, ha hecho público un informe en el que se analizan los llamados lookalike domainscomo vector de amenazas cibernéticas para organizaciones de todo el mundo.

Se denomina lookalike domain a un dominio de Internet con una denominación y aspecto parecido – a veces incluso indistinguible- al del dominio legítimo, y que es utilizado por los actores de ciberamenazas para engañar a los usuarios, redirigirles a sitios maliciosos con intención de llevar a cabo ataques de todo tipo.

Infoblox ha estado monitorizando lookalike domainsdesde hace años y analiza diariamente más de 70.000 millones de eventos DNS para identificar nuevas amenazas potenciales. Este informe recoge las conclusiones de este análisis realizado entre enero de 2022 y marzo de 2023. De los más de 300.000 lookalike domainsanalizados se ha seleccionado una muestra que ilustra los retos y riesgos asociados a este tipo de dominios.

Los lookalike domainsestán vinculados generalmente a ataques masivos, no específicos, realizados utilizando diferentes vectores de ataque, como spam de correo electrónico, banners publicitarios, redes sociales y mensajes SMS. Diariamente se registran miles de nuevos dominios que imitan las páginas de proveedores de software populares, proveedores de servicios, instituciones financieras, sitios de criptomonedas y servicios de soporte, entre otros. El objetivo, en la mayoría de los casos es redirigir al usuario a una web fraudulenta y obtener credenciales y datos personales y financieros de las víctimas. Asimismo buscan infectar las máquinas con malware (ataques C2, Command and Control) y poder acceder a redes corporativas y hacerse con el control de sistemas.

Los lookalike domainsson cada vez más sofisticados: no se limitan a imitar el aspecto de los dominios legítimos hasta el punto de ser idénticos, sino que llegan a incluir los sistemas de autenticación multifactor (MFA) del dominio plagiado, para incrementar la credibilidad del sitio y hacer pensar al usuario que la conexión es segura.

Uno de los factores que promueven el uso de esta técnica de engaño es que es muy rentable, porque resulta barato registrar nombres de dominio y da la capacidad de realizar ataques a gran escala. Los atacantes tienen la ventaja de la escala, y mientras que las técnicas para identificar la actividad maliciosa van siempre un paso por detrás.

Técnicas para la creación de nombres de dominio similares

  • Homógrafos: Es la técnica más tradicional. Buscar nombres de dominio en los que sólo varíe algún carácter, que es similar al original. Por ejemplo teclear “go0gle” en vez “google”. En estos casos el error tipográfico es evidente. Sin embargo, las posibilidades de engaño se han disparado a partir de la aceptación de caracteres Unicode para incluir caracteres diferentes al alfabeto latino. Se dan casos de símbolos que son absolutamente idénticos en apariencia pero que responden a caracteres Unicode distintos. Por ejemplo, hay dos caracteres cirílicos absolutamente idénticos a la “c” y la “o” latinas, y se dio el caso de un registro fraudulento de Microsoft[.]com en el que ni la “c” ni la “o” eran realmente esos caracteres.
  • Typosquats: Buscan aprovechar los errores del usuario al introducir por teclado el nombre del sitio. Por ejemplo, caracteres duplicados, dominios alternativos, etc. Algunas organizaciones tratan de evitar esto registrando a su nombre variantes posibles de su dominio, pero muchas veces las combinaciones son tantas que es prácticamente imposible agotar todos los casos. El objetivo principal de este tipo de dominios fraudulentos suele ser la monetización, generar tráfico al sitio fraudulento para vender publicidad o tratar de revender el dominio a su propietario legítimo.
  • Combosquats: Consiste en combinar el nombre de un nombre de dominio muy conocido con otras palabras clave, como “soporte”, “ayuda”, “seguridad” o “contacto”. Por ello suele afectar a empresas de software o proveedores de servicios, ya que si el usuario busca en un buscador la palabra del proveedor y otra de estas palabras clave, puede aparecerle este tipo de dominios fraudulentos, por ejemplo “wordpress” y “support”. Un estudio realizado hace algunos años sobre 468 millones de registros DNS puso de manifiesto, con relación al uso de esta técnica que:
  • Los dominios combosquat son 100 veces más frecuentes que los dominios typosquat
  • El 60 % de este tipo de dominios fraudulentos están activos durante más de 1000 días
  • El 20 % de ellos aparecen en al menos una lista de bloqueo pública 100 días después de las resoluciones iniciales
  • Soundsquats: consiste en utilizar nombres de dominio que aunque no se escriban igual sí se pronuncien igual. Esta técnica ha cobrado importancia con el desarrollo de sistemas de reconocimiento de voz como Alexa, Siri y Google Voice, y se utiliza en combinación con las anteriores, sobre todo si además su ortografía es parecida.
  • Otras variedades relacionadas: por último mencionar una forma más específica de uso de sites fraudulentos. Se trata de dominios fraudulentos utilizados como repositorios de paquetes de determinados lenguajes de programación populares, como Python. Se utilizan las técnicas anteriores para dirigir al programador a sitios fraudulentos con bibliotecas de esos lenguajes que incluyen scripts maliciosos, burlando los mecanismos de seguridad.

“Todo el mundo está en el punto de mira”

A pesar de las campañas de concienciación y de los avances tecnológicos, los Lookalike Domains siguen representando una amenaza persistente para usuarios y organizaciones. El estudio de Infoblox pone de manifiesto, entre otras cosas, que los dominios plagiados no pertenecen únicamente a grandes organizaciones conocidas por todos, sino que dominios de todo tipo de empresas e incluso pequeños negocios son objetivo de los actores del cibercrimen.

Entre los objetivos de los ciberatacantes que utilizan lookalike domains se encuentran restaurantes, bufetes de abogados y otras pequeñas empresas. Además, un mismo actor puede utilizar como señuelos tanto marcas conocidas como pequeñas empresas. Por ejemplo se ha detectado que una de las victimas ha sido un conocido restaurante de Nueva York, al que han copiado su sitio web, presumiblemente para atraer a los visitantes a hacer reservas con sus tarjetas de crédito.

Vectores de difusión de dominios fraudulentos

Los principales métodos utilizados por los actores para la difusión de estos lookalike domains son:

  • Mensajes SMS: A pesar de las mejoras en los filtros de spam para teléfonos móviles para mensajes de texto (SMS), el uso de SMS para hacer phishing (smishing) sigue aumentando. Los actores pueden distribuir rápidamente una gran cantidad de mensajes y evitar algunos de los mecanismos de seguridad que se implementan para proteger contra ataques de phishing por correo electrónico. Infoblox ha estado rastreando a un actor smishing que han denominado OpenTangle, que controla más de 1500 lookalike domains que plagian dominios de entidades financieras, proveedores de Internet y comercios on-line.
  • Llamadas telefónicas: se han identificado campañas que utilizan llamadas de teléfono convencionales para indicar al usuario un dominio malicioso fraudulento. Combinan varias técnicas, desde el correo electrónico hasta ingeniería social, por lo que las posibilidades de hacer creer a la víctima que se trata de un dominio legítimo aumentan.
  • SPAM: el spam via correo electrónico nunca pasa de moda. Infoblox analiza decenas de miles de correos electrónicos no deseados diaraimente, muchos de ellos que redirigen al usuario a dominios fraudulentos plagiados.
  • Códigos QR: se usa un código QR para ofuscar un destino de URL y entregar contenido malicioso, en conjunto con dominios similares creados para atraer a los usuarios a reclamar premios gratis y proporcionar información de cuenta de billetera criptográfica. Afectan a sitios de criptomonedas o marcas de consumo muy conocidas

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

TE PUEDE GUSTAR

RECIBE LA NEWSLETTER

*Email: *Nombre apellidos: *Empresa: Cargo: Sector:

 
Please don't insert text in the box below!

ARTÍCULOS MÁS RECIENTES

ESCUCHA NUESTRO PODCAST

SÍGUENOS EN RRSS

MÁS COMENTADOS

Scroll al inicio