TypoSquatting: usando tu cerebro para engañarteDiego Samuel Espitia 7 mayo, 2020 El cerebro es increíble y ha evolucionado durante miles de años para hacernos la vida más simple o para reducir tiempo de procesamiento en cosas que considera innecesarias. Una de ellas es leer cada letra en un texto escrito, lo cual se puede comprobar de varias formas, como en los siguientes tres ejemplos: ¿Por qué sucede esto? Ésto se debe a la manera en que aprendemos a leer, pues inicialmente sólo vemos imágenes y no es hasta después de entenderlas cuando empezamos a hacer la asociación con sonidos y las palabras. Cuando estamos acostumbrados a leer las mismas palabras durante mucho tiempo, nuestro cerebro coloca palabras donde no están o reemplaza inmediatamente los números por las letras que corresponde o puede leer cuando están escritas al revés, entre muchas otras cosas. Sin duda, esta capacidad cerebral es increíblemente poderosa, pero también genera algunos riesgos de ciberseguridad por la posibilidad que brinda para generar engaños fácilmente. Por ejemplo, si te llega un mensaje que dice “www.gooogle.com” tú no te das cuenta que «goooge» tiene tres «o» en lugar de las dos que tiene el sitio real. Qué es el TypoSquatting Desde hace muchos años, los delincuentes se han percatado de que es posible usar esta capacidad en nuestra contra. Las campañas de phishing usan estas pequeñas alteraciones del texto para engañar a los usuarios, siendo muy efectivas si son asociadas a sensaciones de miedo o de afectación económica. Este tipo de amenazas se ha denominado TypoSquatting. Con la actual crisis sanitaria generada por el Covid-19, el uso de esta técnica ha aumentado significativamente. Una de las entidades que más ha sido utilizada para generar estos engaños es la Organización Mundial de la Salud, que tuvo que publicar un comunicado expreso de ciberseguridad para tratar de mitigar los daños de estos engaños. Uno de los miles de ejemplos está en uno de los sistemas de seguimiento de la pandemia que se han generado, llamado coronatracker.com, que se utiliza como base para diferentes mutaciones de tipo typosquatting, como podemos ver a continuación: Para resumir el análisis, sólo se tomará el segundo dominio detectado, coronatracker.info, que usa la técnica de cambiar el dominio raíz (com por info) para que la víctima, al enfocarse en el nombre de la página, no se fije en ningún otro de los detalles. En este otro ejemplo a continuación, un SMS trata de engañar al usuario usando el dominio de una entidad bancaria, cambiando el dominio raíz de com por one. Al realizar el análisis de coronatracker.info con nuestra herramienta TheTHE, se puede ver cómo este engaño de TypoSquatting oculta un sitio dedicado a enviar phishing y que el dominio fue creado en la primera semana de la pandemia, como otros miles que han surgido. Usando la IP vemos, en la primera imagen, que ya ha sido reportado en AbuseIP por ser una IP sospechosa y, en la segunda, vemos cómo el análisis con Maltiverse la detecta como maliciosa. Usando el dominio, se ve como este ya se ha reportado en Virustotal y que adiciona responde a 9 direcciones IP diferentes. Como se puede apreciar, los delincuentes no dejan pasar ninguna oportunidad para desplegar malware. Esta tormenta de eventos suscitados por la pandemia son el momento perfecto para usar todos los mecanismos que tienen a su disposición para acceder a datos personales, datos empresariales, datos financieros o simplemente a máquinas que les puedan servir para conseguir más víctimas. Estas técnicas no sólo se aplican en dominios, sino también en aplicaciones móviles, paquetes de software para desarrollo, correos electrónicos, mensajería instantánea, SMS y cualquier otro medio que pueda usarse para que las víctimas hagan click en el enlace. DIARIO, el detector de malware en documentos que respeta la privacidadNoticias de Ciberseguridad: Boletín semanal 25 de abril-8 de mayo
Jennifer González Qué es la huella digital y por qué es importante conocerla para proteger a los menores en internet Como explicaba en mi anterior artículo sobre las cibervictimizaciones en los menores y el aumento que cada año se registra, hoy querría hablar sobre la importancia de concienciarnos sobre...
Telefónica Tech Boletín semanal de ciberseguridad, 7—13 de mayo Vulnerabilidad en BIG-IP explotada para el borrado de información El pasado 4 de mayo F5 corregía entre otras, una vulnerabilidad que afectaba a dispositivos BIG-IP (CVE-2022-1388 CVSSv3 9.8), que podría...
Juan Elosua Tomé Shadow: tecnología de protección contra filtraciones de documentos Shadow, de Telefónica Tech, es una tecnología que permite identificar el origen de una fuga de información como la sucedida recientemente en EE UU
David García El nuevo final de las contraseñas Password, contraseña, clave, frase de paso… ¿Cuántos puedes recordar si no usas un gestor de contraseñas? Es más ¿Usas un gestor?
Marta Mª Padilla Foubelo Dark Markets, el concepto de mercado negro en la Internet actual ¿Que son los Dark Markets o Black Markets? Basta con traducirlo para hacernos una idea: es el mercado negro que también existe en internet
Telefónica Tech Boletín semanal de ciberseguridad, 30 de abril — 6 de mayo TLStorm 2 – Vulnerabilidades en conmutadores Aruba y Avaya Investigadores de Armis han descubierto cinco vulnerabilidades en la implementación de comunicaciones TLS en múltiples modelos de conmutadores de Aruba y...