Fasebook.com: un ataque de typosquatting para los despistados

Los atacantes siempre ponen su cuota de originalidad para propagar amenazas y uno de estos casos es la técnica conocida como Typosquatting. Esta, consiste en registrar nombres de dominios similares a otros conocidos o populares, para así obtener tráfico de forma automática.

¿Cómo funciona? Muy sencillo, se basan en los errores ortográficos o de tipeo que pueden cometer los usuarios al ingresar una dirección URL en el navegador. Por ejemplo, un usuario que quiera ingresar al sitio oficial de ESET Latinoamérica (www.eset-la.com) podría omitir el guión y entrar en www.esetla.com. Es un error común, por desconocimiento del dominio correcto, o por imprudencia al momento de escribirlo. Un atacante podría aprovechar y registrar dicho dominio (en este caso no podría porque ya es enlazado al sitio real) y aprovecharlo para diversos motivos como:

  • Publicidad no deseada: promoción de productos o servicios al mejor estilo spam pero a través de la web.
  • Distribución de malware: sitios que poseen enlaces de descarga o diversos ataques para propagar códigos maliciosos.
  • Enlaces a otros sitios: se destacan entre los usos más comunes sitios pornográficos.
  • Realizar ataques de phishing.

Para graficar este tipo de ataques, veamos un ejemplo muy común, el portal fasebook.com (CUIDADO: el sitio web posee una amenaza y los lectores deben evitar visitar el sitio web). Claramente se aprovecha de aquellos usuarios que coloquen mal (equivocando la “s” donde debería ir una “c”) el dominio de la popular red social Facebook. Si el usuario accede al sitio web en cuestión, el mismo posee un script para direccionar a la víctima a otro sitio web, como se observa en la siguiente imagen:

Typosquatting Fasebook.com

En ese sitio web, se observa una encuesta que posee una interfaz (colores, disposición de los objetos) similar a la de Facebook para seguir engañando al usuario:

Typosquatting Fasebook.com

La encuesta es para acceder a una supuesta promoción de productos de Apple, y finalmente se trata de un ataque de scam donde el usuario termina ingresando información personal y para participar de la promoción debe enviar un mensaje de texto que le servirá al atacante para hacer dinero.

En resumen, el typosquatting aprovecha situaciones cotidianas que le ocurren a los usuarios para realizar distintas actividades poco benignas. Así que ya saben: a estar atentos y revisar siempre las direcciones URL.

Sebastián Bortnik
Analista de Seguridad

Autor , ESET

Síguenos