TypoSquatting: usando tu cerebro para engañarte

El cerebro es increíble y ha evolucionado durante miles de años para hacernos la vida más simple o para reducir tiempo de procesamiento en cosas que considera innecesarias. Una de ellas es leer cada letra en un texto escrito, lo cual se puede comprobar de varias formas, como en los siguientes tres ejemplos:

¿Por qué sucede esto?

Ésto se debe a la manera en que aprendemos a leer, pues inicialmente sólo vemos imágenes y no es hasta después de entenderlas cuando empezamos a hacer la asociación con sonidos y las palabras. Cuando estamos acostumbrados a leer las mismas palabras durante mucho tiempo, nuestro cerebro coloca palabras donde no están o reemplaza inmediatamente los números por las letras que corresponde o puede leer cuando están escritas al revés, entre muchas otras cosas.

Sin duda, esta capacidad cerebral es increíblemente poderosa, pero también genera algunos riesgos de ciberseguridad por la posibilidad que brinda para generar engaños fácilmente. Por ejemplo, si te llega un mensaje que dice “www.gooogle.com” tú no te das cuenta que «goooge» tiene tres «o» en lugar de las dos que tiene el sitio real.

Qué es el TypoSquatting

Desde hace muchos años, los delincuentes se han percatado de que es posible usar esta capacidad en nuestra contra. Las campañas de phishing usan estas pequeñas alteraciones del texto para engañar a los usuarios, siendo muy efectivas si son asociadas a sensaciones de miedo o de afectación económica. Este tipo de amenazas se ha denominado TypoSquatting.

Con la actual crisis sanitaria generada por el Covid-19, el uso de esta técnica ha aumentado significativamente. Una de las entidades que más ha sido utilizada para generar estos engaños es la Organización Mundial de la Salud, que tuvo que publicar un comunicado expreso de ciberseguridad para tratar de mitigar los daños de estos engaños.

Uno de los miles de ejemplos está en uno de los sistemas de seguimiento de la pandemia que se han generado, llamado coronatracker.com, que se utiliza como base para diferentes mutaciones de tipo typosquatting, como podemos ver a continuación:

Para resumir el análisis, sólo se tomará el segundo dominio detectado, coronatracker.info, que usa la técnica de cambiar el dominio raíz (com por info) para que la víctima, al enfocarse en el nombre de la página, no se fije en ningún otro de los detalles. En este otro ejemplo a continuación, un SMS trata de engañar al usuario usando el dominio de una entidad bancaria, cambiando el dominio raíz de com por one.

Al realizar el análisis de coronatracker.info con nuestra herramienta TheTHE, se puede ver cómo este engaño de TypoSquatting oculta un sitio dedicado a enviar phishing y que el dominio fue creado en la primera semana de la pandemia, como otros miles que han surgido. Usando la IP vemos, en la primera imagen, que ya ha sido reportado en AbuseIP por ser una IP sospechosa y, en la segunda, vemos cómo el análisis con Maltiverse la detecta como maliciosa.

Usando el dominio, se ve como este ya se ha reportado en Virustotal y que adiciona responde a 9 direcciones IP diferentes.

Como se puede apreciar, los delincuentes no dejan pasar ninguna oportunidad para desplegar malware. Esta tormenta de eventos suscitados por la pandemia son el momento perfecto para usar todos los mecanismos que tienen a su disposición para acceder a datos personales, datos empresariales, datos financieros o simplemente a máquinas que les puedan servir para conseguir más víctimas.

Estas técnicas no sólo se aplican en dominios, sino también en aplicaciones móviles, paquetes de software para desarrollo, correos electrónicos, mensajería instantánea, SMS y cualquier otro medio que pueda usarse para que las víctimas hagan click en el enlace.