Lookalike domains, ¿la amenaza que no has volteado a ver?

Infoblox destacó que “todo el mundo está en la mira”: los actores que falsifican dominios apuntan no sólo a grandes organizaciones sino a pequeñas empresas y negocios

 .  (Foto: iStock)

Valeria Torres

Imagina que uno de tus clientes quiere visitar tu página, pero en vez de hacerlo llega a un sitio malicioso en dónde le roban sus datos, pero él siempre pensó que estaba en tu dominio, esto es lo que sucede con los lookalike domains, una amenaza que se acrecenta cada día. 

De acuerdo con Infoblox este fenómeno es el vector de amenazas cibernéticas para organizaciones de todo el mundo. 

A detalle, se denomina  lookalike domain a un dominio de Internet con una denominación y aspecto parecido – a veces incluso indistinguible- al del dominio legítimo, y que es utilizado por los actores de ciberamenazas para engañar a los usuarios, redirigirles a sitios maliciosos con intención de llevar a cabo ataques de todo tipo. 

Los lookalike domains están vinculados generalmente a ataques masivos, no específicos, realizados utilizando diferentes vectores de ataque, como spam de correo electrónico, banners publicitarios, redes sociales y mensajes SMS. 

Diariamente se registran miles de nuevos dominios que imitan las páginas de proveedores de software populares, proveedores de servicios, instituciones financieras, sitios de criptomonedas y servicios de soporte, entre otros. 

El objetivo, en la mayoría de los casos es redirigir al usuario a una web fraudulenta y obtener credenciales y datos personales y financieros de las víctimas. Asimismo buscan infectar las máquinas con malware (ataques C2, Command and Control) y poder acceder a redes corporativas y hacerse con el control de sistemas.

La firma explicó que las técnincas más común para la creación de nombres de dominio similares son:

  • Homógrafos: Es la técnica más tradicional. Buscar nombres de dominio en los que sólo varíe algún carácter, que es similar al original

  • Typosquats: Buscan aprovechar los errores del usuario al introducir por teclado el nombre del sitio. Por ejemplo, caracteres duplicados, dominios alternativos, etc.

  • Combosquats: Consiste en combinar el nombre de un dominio muy conocido con otras palabras clave, como “soporte”, “ayuda”, “seguridad” o “contacto”

  • los dominios combosquat son 100 veces más frecuentes que los dominios typosquat

  • 60 % de este tipo de dominios fraudulentos están activos durante más de 1000 días

  • 20 % de ellos aparecen en al menos una lista de bloqueo pública 100 días después de las resoluciones iniciales

  • Soundsquats: consiste en utilizar nombres de dominio que aunque no se escriban igual sí se pronuncien igual. Esta técnica ha cobrado importancia con el desarrollo de sistemas de reconocimiento de voz como Alexa, Siri y Google Voice

  • otras variedades relacionadas: Dominios fraudulentos utilizados como repositorios de paquetes de determinados lenguajes de programación populares, como Python

 Por su parte,  principales métodos utilizados por los actores para la difusión de estos lookalike domains son:

  • mensajes SMS: A pesar de las mejoras en los filtros de spam para teléfonos móviles para mensajes de texto (SMS), el uso de SMS para hacer phishing (smishing) sigue aumentando. 

  • llamadas telefónicas: se han identificado campañas que utilizan llamadas de teléfono convencionales para indicar al usuario un dominio malicioso fraudulento.

  • SPAM: el spam via correo electrónico nunca pasa de moda. Infoblox analiza decenas de miles de correos electrónicos no deseados diariamente, muchos de ellos que redirigen al usuario a dominios fraudulentos plagiados. 

  • Códigos QR: se usa un código QR para ofuscar un destino de URL y entregar contenido malicioso.

“Incluso las personas más conscientes de la seguridad pueden ser víctimas de esto y volver a hacerlo una y otra vez. Los atacantes tienen la ventaja en esta guerra, pero aún no está perdida”, dijo Iván Sánchez, VP Sales LATAM. 

Además subrayó que los lookalike domains son cada vez más sofisticados: no se limitan a imitar el aspecto de los dominios legítimos hasta el punto de ser idénticos, sino que llegan a incluir los sistemas de autenticación multifactor (MFA) del dominio plagiado, para incrementar la credibilidad del sitio y hacer pensar al usuario que la conexión es segura. 

Uno de los factores que promueven el uso de esta técnica de engaño es que es muy rentable, porque resulta barato registrar nombres de dominio y da la capacidad de realizar ataques a gran escala. Los atacantes tienen la ventaja de la escala, y mientras que las técnicas para identificar la actividad maliciosa van siempre un paso por detrás. 


MÁS SOBRE:

NO TE PIERDAS: