Descubriendo enlaces engañosos

Es común que los desarrolladores de códigos maliciosos intenten propagar sus amenazas a través de distintos medios de comunicación. Haciendo uso de técnicas de Ingeniería Social intentan aumentar la eficacia de sus engaños: un correo con un enlace a un video de YouTube, un mensaje de Facebook que dice tener fotos nuestras y hasta un simple tweet que  nos recomienda seguir a alguien en Twitter pueden ser utilizados como canales de propagación de códigos maliciosos.

Los acortadores de URL, como por ejemplo bitly, son ampliamente utilizados para propagar amenazas, escondiendo el enlace real para lograr que el usuario haga clic sin siquiera pensar que su equipo podría verse afectado. Pero, ¿esto es (o fue) siempre así? La respuesta es no, si bien es una técnica muy común no es lo único que existe.

Un caso muy usual es encontrar en la bandeja de entrada un correo proveniente de algún contacto conocido, normalmente dicha cuenta ha sido vulnerada y se encuentra enviando correos con enlaces maliciosos. Un ejemplo de esto se observa en el siguiente correo:


El mensaje contiene un enlace que pareciera ser un video de YouTube, pero en realidad redirige al usuario a la descarga de un código maliciosos detectado como Win32/TrojanDownloader.Banload.PMI, un troyano que una vez que ha infectado el equipo realiza la descarga de otras amenazas que intentan robar credenciales del usuario. Esta muestra fue anteriormente analizada y comentada en un ataque masivo de phishing a la banca de Brasil.

Hay un punto muy claro: el enlace no es lo que dice ser. Además, el código malicioso no se encuentra alojado en el conocido servicio de videos online: la dirección URL no es lo que dice ser. En casos como este no se hace uso de ningún acortador de direcciones sino que directamente se engaña al usuario mediante una técnica mucho más común.

Ahora, ¿cómo es que hacen esto? ¿De qué manera podemos identificar estas amenazas? La respuesta a cada una de las preguntas se relacionan con la propiedad <HREF> que permite enlazar un texto determinado a una dirección, documento, etc.

En realidad, el correo que observamos anteriormente contiene una referencia a una dirección distinta a la que muestra en el texto, observando los detalles del correo esto se puede observar mejor:

En resumen, si tomamos las imágenes anteriores, podemos ver en la primer imagen que al pasar el mouse sobre el enlace, el navegador, en la barra inferior, muestra cuál es el enlace real. Esto debería ser el primer punto a tener en cuenta por los usuarios. En la segunda imagen vemos cómo es que mediante una propiedad tan básica de HTML los desarrolladores de códigos maliciosos pueden engañar a un usuario.

¿Qué podemos entender de todo esto? Que las técnicas utilizadas para engañar a los usuarios son muy diversas. Las vemos en Twitter, Facebook o hasta en correos electrónicos falsos provenientes de un contacto cuya cuenta fue comprometida. En este caso un control tan sencillo como observar en la barra del navegador, donde se muestra a qué enlaza el hipervínculo, ayuda a mantener a los usuarios alejados de amenazas.

En conclusión, existen ciertos puntos que no se pueden dejar de lado en lo que respecta a seguridad informática y dos de ellos son contar con una solución antivirus con capacidad de detección proactiva y una buena educación por parte de los usuarios. De esta manera se fortalecen las defensas para que las probabilidades de caer presas de engañ0s, ya sean sencillos o más elaborados, sean mínimas.

Pablo Ramos
Especialista de Awareness & Research

Autor , ESET

Síguenos