La mayoría de nosotros solemos hacer todo tipo de búsquedas en Google. Por su amplio contenido, asertividad y confiabilidad. Una confianza que la plataforma se ha sabido ganar y que lo convierte en uno de los buscadores más utilizados hoy en día por gran parte del mundo.
Incluso, se puede medir esa confianza a un nivel muy alto cuando vemos que muchos de nosotros solamente accedemos a las páginas encontradas en los primeros puestos, ignorando en gran medida al resto de información encontrada que de igual manera puede ser de calidad.
Ese nivel de confianza hace que Google puede convertirse en el punto débil para nosotros y el golazo inminente para los ciberdelincuentes.
Ataque Homográficos
Es un método que utilizan los cibercriminales para clonar sitios web reconocidos, robar claves e información confidencial y estafar económicamente a quien sea que caiga en sus redes. Por lo general, estos sitios web falsos tienden a estar posicionados en el buscador de Google, permitiendo así que el usuario caiga fácilmente.
¿Cómo funcionan los Ataques Homográficos?
A través de sutiles cambios en la dirección de algún sitio web, los cibercriminales confunden al usuario de manera asertiva logrando que este acceda a un sitio web falso, idéntico al que inicialmente el usuario tenía la intención de alcanzar.
A simple vista las direcciones falsas pueden engañar fácilmente al usuario demostrando así que ni siquiera el candado o HTTPS es suficiente para determinar la seguridad.
¿Cómo detectar si un sitio web es falso?
En caso tal de que caigamos en alguna de estas mal intencionadas páginas clonadas, estos son algunos factores que debemos tener en cuenta:
- Verifica que la barra de navegación de tu navegador tenga un certificado digital correspondiente (símbolo de candado en la parte izquierda del sitio web).
- Detalla la URL que posee la página. Si esta no se identifica con el nombre de la marca que vende o no contiene ninguna relación con el contenido es porque los ciberdelincuentes han intervenido.
- Verifica que tanto el logo como las imágenes contenidas en la pagina sean de buena calidad, si no lo son, probablemente los ciberdelincuentes la hayan recortado o bajado de la original.
- Sospecha si muchos de los productos curiosamente se encuentran en descuento.
- Si a la hora de pagar algún producto se observan varios logos de tarjetas de crédito como método de pago en una misma imagen, sin ningún enlace que verifique qué es cada uno de ellos, no tragues entero y abandona el sitio web.
- Las tiendas legítimas suelen admitir además de tarjetas otros métodos de pago, si estas opciones no aparecen. ¡Sospecha y Huye!
- Los ataques homográficos son un gancho fácil para muchos, es por eso que verificar atentamente que tanto la URL como el contenido de la página sean legítimos, puede evitar que algún tipo de fraude digital se pueda realizar. Igualmente, para impedir caer en definitiva en esta trampa digital evita acceder a los sitios a través de enlaces en correos electrónicos, mensajes sospechosos y acceder a las páginas escribiendo la URL o a través de accesos directos de confianza.
El ataque homógrafo de nombre de dominio internacionalizado (IDN) se utiliza para formar nombres de dominio que se asemejan visualmente a nombres de dominio legítimos, aunque utilizando un conjunto diferente de caracteres. Por ejemplo, el IDN "xn--akmai-yqa.com" que aparece en Unicode como "akámai.com" se asemeja visualmente al nombre de dominio legítimo "akamai.com". Los atacantes a menudo aplican ataques homógrafos IDN para formar nombres de dominio que se utilizan con fines maliciosos, como la distribución de malware o phishing , mientras parecen confiables para las víctimas.
La prevención de los ataques homógrafos IDN se basa en dos enfoques complementarios: registro y acceso. En el lado del cliente, los principales navegadores web implementan algoritmos que intentan identificar ataques homógrafos de IDN y presentarlos en su verdadera forma IDN en lugar de Unicode, para reducir su parecido con nombres de dominio legítimos. En el lado del servidor, la Corporación de Internet para la Asignación de Nombres y Números (ICANN) emitió varias políticas en los últimos años para limitar la eficacia de los ataques homógrafos de IDN en los operadores de registro de ccTLD. Si bien ambos enfoques no eliminan la amenaza planteada por los ataques homógrafos de IDN, sí crean una compensación entre la experiencia del usuario y la seguridad al admitir nombres de dominio internacionalizados y limitar los ataques.
En este blog, vamos a explorar la prevalencia de las visitas de los usuarios a nombres de dominio que se formaron utilizando ataques homógrafos de IDN (en adelante denominados IDN homógrafos) y aprenderemos sobre la efectividad de los enfoques preventivos para la posible amenaza subyacente. Intentamos responder a estas preguntas aplicando un algoritmo que clasifica si un IDN se formó por un ataque homógrafo en el tráfico DNS a gran escala de Akamai. Luego, rastreamos y analizamos los patrones de acceso de los usuarios a cada IDN que se clasificó como un ataque homógrafo.
Los IDN homógrafos a continuación son ejemplos, pero advertimos a los usuarios que no los busquen y los naveguen directamente. Si bien está claro que los IDN homógrafos son potencialmente maliciosos, no todos son maliciosos; Incluso cuando no son maliciosos, es casi seguro que no son benignos.
Detección de ataques homógrafos de IDN
El algoritmo clasifica un IDN como un ataque homógrafo si se cumplen dos condiciones. Primero, la forma Unicode del IDN debe parecerse a un nombre de dominio legítimo y popular (sin el TLD). El algoritmo mantiene una lista constante de tales nombres de dominio que son susceptibles de ser falsificados por los atacantes, y la semejanza se mide utilizando mapas de reemplazo de caracteres. En segundo lugar, el IDN y su coincidencia de nombre de dominio legítimo y popular deben ser registrados por diferentes propietarios. En la Tabla 1 se muestran ejemplos de IDN identificados como ataques homógrafos por el algoritmo.
IDN Unicode Coincidencia legítima
xn--alixpress-d4a.com aliéxpress.com aliexpress.com
xn--go0gl-3we.fm go0glе.fm google.com
xn--mazon-wqa.com ámazon.com amazon.com
Tabla 1: Ejemplo de ataques homógrafos IDN detectados por el algoritmo
El tráfico DNS de Akamai que procesó el algoritmo se compara con las consultas DNS realizadas por millones de dispositivos pertenecientes a usuarios domésticos y pequeñas empresas, en más de 30 redes ISP en todo el mundo. El volumen de dispositivos y usuarios se estima en función de las direcciones IP de origen. Este método tiene la limitación de sobreestimación cuando los dispositivos utilizan varias direcciones IP a lo largo del tiempo. Tratamos de superar esta limitación tanto como sea posible mirando un pequeño marco de tiempo de datos y realizando muestreos frecuentes (diarios), pero eso debe ser notado por los lectores.
La prevalencia de los ataques homógrafos IDN
El algoritmo de detección de homógrafos IDN se aplicó diariamente en el transcurso de 32 días. A lo largo de este período, identificamos 6670 IDN homógrafos en total. Hacemos hincapié en que al menos un dispositivo consultó cada IDN homógrafo identificado en el tráfico DNS en contraste con los IDN registrados a los que nunca se accede en el tráfico. Dentro de 7 de los últimos 32 días, identificamos 67 dominios diarios recién detectados en promedio que nunca se habían visto antes (como se muestra en la Figura 1). Por lo tanto, concluimos que cada día se accede por primera vez al menos a varias docenas de IDN homógrafos registrados, a pesar de la existencia de medidas preventivas.
Además, identificamos un número total de 29.071 dispositivos que accedieron al menos a un IDN homógrafo dentro del período examinado de 32 días. En 7 de los últimos 32 días, hubo, en promedio, más de 850 dispositivos que accedieron diariamente a los IDN homógrafos por primera vez (ver Figura 2). Por lo tanto, concluimos que cada día cientos de dispositivos de Internet acceden involuntariamente a un IDN homógrafo por primera vez.
Cada dispositivo que realizó al menos un acceso a un IDN homógrafo dentro de un día determinado realizó entre 2 y 5 intentos de acceso (medidos por consultas DNS) a IDN homógrafos en total (consulte la Figura 3). Los intentos de acceso múltiple pueden ser el resultado de un comportamiento automático, como la precarga de enlaces [7], o del comportamiento del usuario, como presionar un botón de actualización. Sin embargo, el hecho de que un dispositivo nunca realice más de 5 intentos de acceso diarios en promedio refuerza nuestra afirmación de que las visitas a los IDN homógrafos no son intencionales y no recurrentes; de lo contrario, el promedio sería significativamente más alto.
Conclusiones y conclusiones
Los atacantes utilizan los ataques homógrafos de IDN para formar nombres de dominio que parecen confiables para las víctimas con el fin de servir páginas de phishing y malware. A pesar de la aparición de medidas preventivas contra los ataques homógrafos de IDN, los resultados de nuestro análisis demuestran que todos los días se accede por primera vez a docenas de IDN homógrafos, y cientos de nuevos usuarios acceden involuntariamente a los IDN homógrafos por primera vez. Para proteger mejor su dispositivo y red contra el phishing y el malware, se recomienda utilizar soluciones que protejan contra ataques homógrafos de IDN, como admitir navegadores web (por ejemplo, Chrome o Firefox) e inspeccionar cuidadosamente los nombres de dominio en busca de caracteres Unicode sospechosos (es decir, observe sus pasos). Además, el uso de soluciones de seguridad de red que escanean el tráfico para identificar y bloquear ataques homógrafos de IDN es otra capa de defensa que reduce el riesgo de acceder accidentalmente a estos dominios potencialmente maliciosos.
Secure Internet Access Enterprise de Akamai es un Secure Web Gateway basado en la nube que utiliza inteligencia de amenazas en tiempo real para identificar ataques homógrafos de IDN, así como otras técnicas de entrega de phishing y malware para proteger su red y sus usuarios.
