Cómo se esconde el phishing en URLs falsas: develando el truco

Anteriormente repasamos algunas consideraciones sobre el phishing, y luego nos detuvimos a analizar los 3 aspectos fundamentales que caracterizan a esta clásica amenaza, para que puedes identificarla. Con el paso del tiempo, sigue siendo una trampa eficaz utilizada por los ciberdelincuentes que buscan robar información de usuarios desprevenidos.

Hoy analizaremos otro de los trucos del phishing, que es la utilización de URLs falsas que parecen legítimas. Pero, ¿cómo logran engañar a las víctimas?

Tras el camuflaje

Un truco particularmente común (pero también un claro indicador de su intención maliciosa si lo descubres) es una URL integrada que parece legítima pero que en realidad fue modificada para ocultar el destino real. Las direcciones URL pueden disimularse de muchas formas, aunque los navegadores modernos se actualizaron para combatir muchas de las técnicas de camuflaje de antaño.

Sin embargo, si inspeccionas el código fuente de un correo en HTML o incluso si solo pasas el cursor sobre la URL, verás que no coincide el nombre aparente del sitio con la URL de destino que el navegador ve en realidad, y esto es muy sospechoso.

Sospechoso, pero no concluyente: muchas grandes organizaciones, incluyendo los bancos más importantes, usan dominios múltiples con varios propósitos, y algunos subcontratan diversos servicios, como los de correo, de empresas externas cuyos dominios no se parecen en nada al del proveedor. Lamentablemente, esta es una de las prácticas que facilitan la vida de los estafadores, pero está demasiado arraigada en los negocios modernos como para esperar que se deje de usar a corto plazo.

Estos son algunos otros trucos utilizados por estafadores y creadores de spam:

  • Usar un dominio que se parezca a una dirección real conocida

… pero que sea apenas y discretamente diferente. Un ejemplo simple sería algo como IIoydsbank.com, donde reemplacé las dos “eles” del principio por dos “íes” en mayúscula. Una variante común en la actualidad es usar un homógrafo: en el grupo de caracteres de Unicode hay muchos que se parecen a otros a simple vista (al menos en algunas fuentes), pero para el propósito de identificar una dirección web son completamente diferentes.

En la siguiente representación del dominio de ESET ‘welivesecurity.com’, ωϵІіѵєѕєсᴜᴦіțу.ϲοᶆ, ninguno de los caracteres es en realidad el caracter de US-ASCII al que se parece. Rodeada de caracteres latinos estándar, la palabra se ve bastante rara (en especial porque el sistema CMS no me da mucha flexibilidad para modificar el tamaño o el conjunto de caracteres), pero ¿qué pasaría si solo uno de ellos fuera distinto con una letra y un tamaño cuidadosamente elegidos? Por ejemplo, welivesecurity.cοm. (En este caso, la “o” en realidad es un ómicron).

  • La técnica de typosquatting

Se basa en obtener nombres de dominio con errores tipográficos característicos que pueden llegar a escribir las víctimas accidentalmente cuando intentan acceder al dominio real: por ejemplo, wellsfurgo.com.

Sin duda, el phishing no es la única razón para realizar este tipo de ataque. De hecho, un banco (o cualquier otra empresa) puede tratar de comprar la mayor cantidad de nombres de dominio posibles que puedan ser utilizados por los estafadores y otros malhechores, incluyendo nombres con errores tipográficos, pero es casi imposible predecir todas las variantes.

Y luego también están los nombres que suenan convincentes porque incluyen el nombre del banco, pero que el banco no pensó en reservar: direcciones URL como mi[nombredelbanco].com o mi[nombredetarjetadecredito].com son muy usados, pero ¿son todos genuinos?

  • Es perfectamente posible “alterar” una dirección URL

De hecho, se puede hacer de muchas formas diferentes para que se parezca a la real, pero si haces clic en ella, te llevará a un sitio malicioso. Éste es un ejemplo muy simple: nice-site.co.uk. Otra técnica para encubrir un vínculo malicioso es configurar una serie de redirecciones desde un sitio aparentemente inofensivo a otros que no lo son tanto.

Es posible (y común) que un sitio legítimo esté comprometido de alguna forma para incluir vínculos maliciosos. Ni siquiera es necesario que el sitio esté “infectado” para que el estafador introduzca una redirección alternativa en forma deliberada.

  • Ocultar la URL

Esta técnica típica consiste en usar un servicio acortador de URL, incluyendo acortadores de URL legítimos como TinyURL, bit.ly, t.co, entre otros. Los acortadores de URL son excelentes para servicios de microblogging como Twitter; sin embargo, como en general no puedes ver la URL de destino de antemano, se corre cierto riesgo.

No puedes dar por sentado que los servicios acortadores de URL como bit.ly y TinyURL te están redirigiendo a sitios web confiables. En efecto, son demasiado comunes los tuits de spam que contienen un vínculo corto a un sitio de spam o sin duda a contenido malicioso. Por eso, debes aprender cómo protegerte de enlaces acortados, compuestos y ofuscados sin hacer clic.

  • URL acortada en forma innecesaria

El riesgo aún es mayor cuando encuentras un vínculo acortado en un mensaje que recibes por correo electrónico, mensajería instantánea u otros. Vale la pena recordar que, para mensajes que no están restringidos al máximo de 160 caracteres como el mensaje de texto SMS (por ejemplo, Twitter se reserva 20 caracteres para la dirección del usuario, por lo que el tamaño máximo efectivo de un tuit es de 140 caracteres), en muy raras ocasiones hay necesidad de recortar obsesivamente la longitud del mensaje.

Por lo tanto, una URL acortada en mensajes sin restricción de longitud (o en un artículo de un blog o un mensaje de Facebook) da para pensar que puede estar ocultando algo indeseable. Sin embargo, no es siempre el caso. Por ejemplo, no es inusual que servicios como Tweetdeck publiquen un mensaje único no solo en varias cuentas de Twitter sino también en Facebook. En ese caso, también aparecerá en Facebook un vínculo a Twitter automáticamente acortado.

De todas formas, entre las medidas de precaución que puedes tomar, se encuentra la utilización de LongURL, que te permite ver la versión expandida de una URL acortada antes seguir el vínculo. TinyURL te permite hacer lo mismo solo para direcciones acortadas con tinyURL. Sin embargo, longurl.org es capaz de expandir direcciones URL de una larga lista de otros acortadores de URL.

Enlaces peligrosos y adjuntos dudosos

A veces, el peligro real radica en el archivo adjunto, que puede ser algún tipo de troyano o contener vínculos maliciosos que no están presentes en el mensaje. El software de seguridad suele ser demasiado precavido con los adjuntos y es probable que directamente pretenda bloquearlos a todos, lo que es bastante seguro pero muy poco conveniente para nosotros.

A pesar de que un buen software de seguridad es mucho más efectivo de lo que los sectores de la competencia en la industria de la seguridad quisieran pensar, los malhechores siguen buscando nuevas aproximaciones para insertar malware en forma inadvertida para la víctima y la propia solución de seguridad.

Puedes creer que el malware macro es cosa del pasado, pero no es exactamente el caso. De hecho, hace pocos meses vimos una campaña con MS Office y facturas de Adobe. El malware dirigido a sectores específicos y los llamados ataques APT continúan usando documentos en lugar del inequívoco código de programación como vectores de ataque, y se sabe que el malware no dirigido usa enfoques similares, aunque los productos de seguridad detectan la mayor cantidad de malware específico en una etapa temprana.

No entres en pánico ni tomes malas decisiones apresuradamente

Una de las armas con la que cuentan los suplantadores de identidad es presentar un “problema” que debes resolver en forma urgente iniciando tu sesión (“Inicie su sesión en el plazo de 24 horas o su cuenta se cerrará por razones de seguridad”, por ejemplo).

Esta variación de una conocida estrategia de ventas (“¡La oferta solo es válida por este día!”) tiene el propósito de hacerte entrar en pánico para que respondas lo antes posible. Además de aumentar la presión de la víctima, también funciona en provecho del suplantador de identidad, que en general necesita una respuesta urgente antes de que entren en acción las agencias encargadas de hacer cumplir la ley, se establezcan medidas para contrarrestar la amenaza, el software de seguridad comience a detectarla, se identifique y bloquee la URL maliciosa, y así sucesivamente.

Es por eso que no debes dejarte llevar por la presión, sino detenerte a analizar el enlace o adjunto que tienes por delante para así identificar si se trata de contenido sospechoso o no.

En la próxima entrega haremos un repaso de todos estos trucos y aspectos característicos del phishing para formular una guía que te servirá para mantenerte a salvo. ¡No te la pierdas!

Créditos imagen: ©Pierre Lecourt/Flickr

Autor David Harley, ESET

Síguenos