Llegamos a ustedes gracias a:



Reportajes y análisis

¿Qué es el typosquatting? Un modo de ataque simple pero efectivo

[08/01/2021] Un ataque de typosquatting, también conocido como secuestro de URL, sitio encubierto o URL falsa, es un tipo de ingeniería social en el que los atacantes se hacen pasar por dominios legítimos con fines maliciosos, como fraude o propagación de malware. Registran nombres de dominio que son similares a los dominios legítimos de entidades de confianza específicas con la esperanza de engañar a las víctimas, haciéndoles creer que están interactuando con la organización real.

Cómo funciona el typosquatting

Los actores de amenazas pueden hacerse pasar por dominios mediante:

  • Un error ortográfico común del dominio de destino (CSOnline.com en lugar de CSOOnline.com, por ejemplo)
  • Un dominio de nivel superior diferente (usando.uk en lugar de .co.uk)
  • Una combinación de palabras relacionadas en el dominio (CSOOnline-Cybersecurity.com)
  • La adición de puntos a la URL (CSO.Online.com)
  • El uso letras de apariencia similar para ocultar el dominio falso (ÇSÓOnliné.com)

"¿Puede ver la diferencia entre goggle.com y google.com?, afirma Russell Haworth, director ejecutivo de Nominet, que actúa como registro del dominio .uk. "Básicamente, el typosquatting es un dominio similar, con uno o dos caracteres incorrectos o diferentes, con el objetivo de intentar engañar a las personas para que accedan a la página web incorrecta.

El registro de un dominio es rápido y fácil, y los atacantes pueden registrar varias variaciones del dominio objetivo legítimo al mismo tiempo. Los dominios con errores tipográficos se pueden utilizar como la totalidad de un ataque o una parte más pequeña de una campaña más grande para estos fines:

  • Extorsión: Vender el dominio con el error tipográfico al propietario de la marca.
  • Fraude publicitario: Monetizar el dominio con anuncios de los visitantes a través de una ortografía incorrecta, redirigir a los usuarios a la competencia, o redirigir el tráfico a la propia marca a través de un enlace de afiliado y obtener una comisión por cada clic.
  • Robo de información: Recopilar credenciales e información confidencial, ya sea a través de correos electrónicos de phishing o páginas de inicio de sesión copiadas, o recopilar mensajes de correo electrónico mal dirigidos.
  • Entrega de malware: Instalar malware u ofrecer descargas de software malicioso.
  • Activismo: Retratar al propietario del dominio objetivo de manera negativa, un uso de typosquatting que es particularmente común en los dominios políticos.

"La motivación es casi siempre financiera al final, afirma Tim Helming, evangelista de seguridad en DomainTools, "aunque tampoco se pueden descartar los motivos geopolíticos. El objetivo final suele ser el robo de dinero, propiedad intelectual u otros datos valiosos que se pueden vender o retener para obtener un rescate. En algunos casos, los dominios con errores tipográficos se pueden utilizar en varias etapas de la campaña de ataque para lograr objetivos geopolíticos, como la intrusión en la red o la exfiltración de datos.

¿Qué tan común es el typosquatting?

El typosquatting no es nuevo, y la robusta economía digital ha significado que el interés en este tipo de ataque rara vez disminuye. Helming afirma que su empresa ve cientos de intentos de ocupación de dominios todos los días. "En las últimas 24 horas observé 11 dominios falsificando iCloud, y varios de ellos incluían el término 'soporte', que insinúa fuertemente la recolección de credenciales, afirma. "El iCloud es solo un término. Multiplique esto por los cientos o miles de nombres de empresas conocidas y podrá ver cuán extensa es esta actividad. Dado que puede afectar a empresas de cualquier tamaño, en realidad está viendo cientos de miles de posibles víctimas de mimetismo.

El 2020 ha sido testigo de muchos intentos de suplantación de dominio relacionados con la pandemia de COVID-19. DomainTools informa que, desde diciembre del 2019, se han registrado más de 150 mil nuevos dominios con temas de COVID-19 de alto riesgo. "El espacio más valioso en Internet es .com, lo que significa que también es el espacio más valioso para realizar typosquatting, afirma Haworth de Nominet. "Para los que utilizan typosquatting, los dominios más atractivos de la industria son las instituciones financieras u organizaciones que venden medicamentos. Los productos minoristas de consumo de rápido movimiento también son populares como blanco, por lo que las personas deben tener especial cuidado al iniciar sesión en este tipo de sitios o recibir correos electrónicos con enlaces a ellos.

Asimismo, las elecciones presidenciales estadounidenses de este año fueron un objetivo propicio para la ocupación. En un informe, Digital Shadows encontró más de 500 dominios ocupados relacionados con candidatos presidenciales. El hecho de que 76 estuvieran alojados en la misma dirección IP, y posiblemente operados por la misma persona, muestra lo fácil que es lanzar tales ataques. Seis dominios en el informe redirigidos a extensiones de Google Chrome para "convertidor de archivos o "navegación segura que, si se descargan e instalan, podrían usarse para infringir la privacidad de los votantes y potencialmente implementar malware.

Helming afirma que la práctica de ocupar dominios ha cambiado muy poco en los últimos años. El cambio a HTTPS ha agregado algo de carga de trabajo a los actores que ejecutan dominios con typosquatting, pero los certificados de autoservicio significan que esto no es un gran esfuerzo. La introducción de dominios genéricos de nivel superior proporciona un espacio de nombres más grande para ocupar puestos, aunque parecen inusuales para muchos usuarios y pueden reducir la probabilidad de éxito.

Cómo detener los ataques de typosquatting

El typosquatting puede ser difícil de combatir debido al hecho de que la detección de dominios erróneos depende de las personas. Los CISO deben asegurarse de que los empleados sean conscientes y estén informados sobre el problema del typosquatting y aprendan de qué cuidarse y las posibles formas en que los dominios clave -tanto los propios como los de las organizaciones de la cadena de abastecimiento de la empresa- podrían ser falsificados y por qué.

Los registros y registradores de dominios no tienen "barandas para evitar registros maliciosos de dominios similares o con errores tipográficos, por lo que el registro es simple y económico, afirma Helming. "Se pueden registrar nombres que se ven visualmente casi indistinguibles de los nombres legítimos -incluso cuando se miran con mucho cuidado.

Algunos proveedores ofrecen servicios para encontrar dominios potencialmente falsificados. La World Intellectual Property Organization (OMPI) tiene una Política Uniforme de Resolución de Disputas de Nombres de Dominio (UDRP, por sus siglas en inglés), que permite a los titulares de marcas comerciales presentar quejas contra los autores de typosquatting y reclamar el dominio. Helming explica que la UDRP no llega a los actores que se registraron, pero permite que los registradores de dominios tomen el control de los dominios ilícitos.

A menudo, eliminar dominios falsificados requiere acciones legales y aplicación de la ley. En el 2018, Microsoft obtuvo una orden judicial para cerrar los dominios que se cree que son operados por el grupo Fancy Bear (también conocido como APT28) afiliado a Rusia, y diseñados para hacerse pasar por grupos políticos. Este año, el Departamento de Justicia de Estados Unidos afirmó haber cerrado cientos de dominios fraudulentos relacionados con la pandemia.

"Los criminales nunca responderán efectivamente a las acciones legales, afirma Helming. "La atribución puede ser un gran desafío y estos actores saben cómo cubrir sus huellas. A veces, las acciones legales (o las amenazas) pueden ser más efectivas contra las empresas de infraestructura que albergan los dominios nefastos.

Las empresas también pueden buscar registrar dominios similares a los suyos para evitar preventivamente ataques de squatting y redirigir a los usuarios a la URL correcta. "Esto se conoce típicamente como registro defensivo y es una forma legítima de typosquatting, explica Haworth. "Por ejemplo, Microsoft posee más de una docena de dominios con variaciones de su marca para prevenir tales ataques.

Bibliotecas de código abierto de typosquatting

Un tipo más nuevo de typosquatting es explotar las cadenas de abastecimiento de software en bibliotecas de código abierto. Los atacantes crean paquetes maliciosos que se parecen mucho a los de los paquetes legítimos y luego los cargan, por ejemplo, en el repositorio de descargas de NPM. "El typosquatting es una situación bastante rara, pero el impacto puede ser grande, lo que hace que la creación de componentes maliciosos de código abierto sea un patrón de ataque viable, afirma Tim Mackey, jefe de estrategia de seguridad en el Synopsys Cybersecurity Research Centre.

Por ejemplo, si existe un componente de código abierto llamado "set-env, que se utiliza para configurar el ambiente operativo de una aplicación creada para un marco específico, un equipo malintencionado podría crear un clon de ese proyecto llamado "set-env, que incluye su código malicioso. "El atacante tiene como objetivo la falta de familiaridad con un marco de desarrollo dentro de un equipo y crea un componente que en la superficie resuelve un problema válido, afirma Mackey. "Luego, incrustan un aspecto malicioso en el código y ambos promueven la existencia de su componente y cuentan con los desarrolladores para descubrir su componente.

Si los dos proyectos parecen idénticos, sería fácil que alguien se confunda y el ataque se dirija efectivamente a una mala configuración del software. Es difícil detectar cuándo se puede usar un componente dañado, más aún porque los atacantes pueden lanzar el componente malicioso a los repositorios de administración de paquetes convencionales.

"Los atacantes investigan los paquetes de software más utilizados, afirma Ax Sharma, investigador de seguridad senior de Sonatype. "Luego crean aplicaciones maliciosas y las publican en un repositorio de software de código abierto con un nombre idéntico al de un paquete popular. Los atacantes hábiles pueden emplear tácticas evasivas adicionales, como ofuscar su código malicioso, ocultarlo en archivos JS minimizados, e incluso hacer que su aplicación maliciosa de imitación extraiga el paquete legítimo, cuyo nombre está escrito usando typosquatting como una dependencia, para que no sean detectados.

Un ejemplo reciente fue una serie de paquetes JavaScript maliciosos cargados en el portal NPM, los cuales abrieron shells en las computadoras de los desarrolladores que importaron los paquetes a sus proyectos. Mackey explica que plutov-slack-client pretendía proporcionar una interfaz JavaScript Slack para aplicaciones Node.js, pero en realidad abrió una conexión externa, lo que potencialmente permite la entrada de un atacante al servidor que ejecuta la aplicación. "Si bien plutov-slack-client solo estuvo disponible durante unas pocas semanas, se descargó cientos de veces, lo que significa que los atacantes obtuvieron acceso a los datos de cientos de víctimas.

Aunque la intención puede variar, Mackey afirma que los agresores pueden usar este tipo de ataque para ejecutar código para el robo de tarjetas de crédito, enviar spam o ejecutar campañas de phishing, por ejemplo. En septiembre, se descubrieron paquetes maliciosos que cargaban detalles del usuario en una página de GitHub, y NPM ha publicado una serie de advertencias sobre paquetes maliciosos en los últimos meses, incluido un paquete disruptivo que incluía un troyano que recopilaba datos. Otro ejemplo en el último año incluyó más de setecientas RubyGems de typosquatting que utilizaron nombres que imitan los de las Gems de uso común.

Sharma de Sonatype advierte que los ataques exitosos dan como resultado un ecosistema de código abierto contaminado capaz de causar un daño significativo. Un ataque exitoso podría enviar en cascada el malware de un atacante a muchas víctimas, afirma, "ya que el impacto se extendería mucho más allá de los desarrolladores que descargan el paquete de typosquatting en sus compilaciones. Cualquier cliente que luego instale los paquetes del desarrollador, que encapsulan la imitación de typosquatting, ahora también se verá afectado.

Defenderse contra tales ataques puede resultar difícil, especialmente para proyectos de código abierto que son ejecutados por equipos pequeños o desarrolladores individuales que carecen de los recursos para rastrear dominios potencialmente problemáticos o actuar contra ellos. "Dado que la mayoría del software de código abierto es creado por desarrolladores independientes que intentan resolver problemas técnicos, afirma Mackey, "normalmente no tienen las habilidades ni el tiempo para administrar la marca que está creando su proyecto hasta que se vuelve lo suficientemente popular como para justificar su inclusión en una base importante.

"Si bien la comunidad de código abierto y los mantenedores de los repositorios de administración de paquetes toman medidas cuando se enteran de la existencia de componentes maliciosos, afirma Mackey, "los atacantes confían en la ventana de oportunidad creada entre el inicio de su ataque y el conocimiento público del componente malicioso para maximizar sus ganancias.

Mackey aconseja a las empresas que mantengan un inventario exhaustivo de los componentes que utiliza todo el software en una organización, contra los cuales se pueden realizar auditorías para garantizar que solo se encuentren en su lugar los componentes aprobados. Este inventario y auditoría deben realizarse para validar cualquier componente nuevo que se introduzca.

Puede ver también