Qué es el Phising homógrafo y qué podemos hacer para combatirlo

White hat Hacking y seguridad informática

En las últimas semanas, se ha hablado mucho sobre los ataques de phishing homógrafos, a raíz de una investigación realizada por Bitdefender, en la que certificaba que todas las aplicaciones de Microsoft Office son susceptibles de sufrir este tipo de ataques.

Pero qué es el phishing homógrafo, y cómo consiguen los ciberdelincuentes que pinchemos sobre enlaces maliciosos que nos llevan a páginas donde recogen nuestros datos personales o, incluso, inyectan algún tipo de malware en nuestros dispositivos.

Para realizar este tipo de ataques, se dan de alta dominios que intentan suplantar la identidad de entidades o instituciones conocidas, con el fin de engañar a los usuarios mediante técnicas de ingeniería social. Lo hacen sustituyendo alguna de las letras del dominio original, por caracteres que tienen un aspecto muy parecido.

Un ejemplo muy simple podría ser el siguiente: el ciberdelincuente registra el dominio appIe.com, sustituyendo el carácter “ele” por una “i” mayúscula, de manera que cuando el usuario recibe un mensaje invitándole a pinchar sobre el enlace, no será capaz de detectar que le están dirigiendo a una web fraudulenta.

Otro clásico es intentar aprovechar determinadas combinaciones de letras. Por ejemplo, situadas una al lado de la otra, las letras “r” y “n” se pueden confundir con una “m”. Así, si no prestamos atención, cuando vemos elrnumdo.es, tenemos la sensación de que el enlace nos dirigirá a la web del periódico El Mundo.

Por razones obvias, los ataques homógrafos que se realizan utilizando un solo alfabeto están circunscritos a unos pocos caracteres, por lo que las posibilidades para los ciberdelincuentes están bastante limitadas.

Sin embargo, desde el momento en que se abrió la posibilidad de utilizar caracteres de lenguas como el ruso (cirílico) el griego, el chino o el árabe para dar de alta dominios de internet, las posibilidades crecieron de manera sustancial, ya que algunos alfabetos comparten letras cuyo aspecto es muy similar, o incluso igual.

Caracteres Unicode y dominios en internet

Inicialmente, solo se podían dar de altas dominios que utilizaran caracteres ASCII (acrónimo inglés de American Standard Code for Information Interchange), un código de caracteres basado en el alfabeto latino tal como se usa en inglés moderno, y que asigna números decimales del 0 al 127 a las letras del alfabeto inglés, los números, y algunos signos de puntuación y de control.

Sin embargo, gracias al sistema de codificación Punycode, ahora se puede convertir una cadena de texto en formato Unicode a un formato ASCII compatible con las URL, por lo que ya es posible registrar nombres de dominio internacionalizados (IDN), que contienen caracteres no incluidos en ASCII, por ejemplo, ç, ñ, caracteres chinos, árabes, cirílicos, griegos o árabes.

La codificación Unicode define cada carácter o símbolo mediante un nombre e identificador numérico, y recoge letras, signos diacríticos, caracteres de puntuación, ideogramas, caracteres silábicos, caracteres de control y otros símbolos, que se agrupan en alfabetos o sistemas de escritura. Éstos se pueden mezclar en un mismo texto, y son procesadas por los ordenadores como entidades diferentes, debido a que la su codificación es distinta.

Por ejemplo, el valor Unicode para la letra cirílica “a” es U + 0430, mientras que la repre-sentación de la latina “a” es U + 0061. Además, también podemos encontrarnos casos como el de la letra griega omega (ω), que, aunque no es igual, es muy similar a la “w” latina, y puede prestarse a confusión, si no nos fijamos.

Qué medidas se tomaron para evitar este tipo de ataques

Para evitar problemas, la Corporación para la Asignación de Nombres y Números en Internet (ICANN) adoptó medidas para prohibir registrar nombres de dominio que contengan escrituras mixtas

Sin embargo, esta prohibición impide combinar el uso de letras del alfabeto latino con letras de otros alfabetos Unicode, pero no la combinación de letras de diferentes alfabetos no latinos. Además, no afectsa a dominios que están escritos en un alfabeto diferente al latino, aunque visualmente sean iguales que dominios ya registrados con letras latinas.

Por otro lado, recientemente, Matt Hamilton, investigador de Soluble, realizó un experimento que le permitió detectar que es posible registrar dominios en los que se combinan caracteres latinos con representaciones de la extensión Unicod latín IPA, que contienen homoglifos similares en ortografía a otros caracteres latinos. En este caso consiguen eludir la prohibición de la ICANN porque pertenecen al mismo alfabeto.

Hamilton realizó el experimento  registrando los dominios con Verisign, una empresa norteamericana que controla dos de los trece servidores raíz que operan los nombres de dominio primarios punto com y punto net, y aunque, según ha explicado, Verisign ya ha tomado medidas para solucionar este problema, pero es muy posible que se esté produciendo en otros administradores de dominio.

Medidas de seguridad adoptadas por los navegadores

La defensa más simple sería que los navegadores web no admitieran los nombres de dominio internacionalizados (IDN), o que los usuarios desactivaran cualquier tipo de soporten que tengan en sus navegadores, pero eso significaría bloquear el acceso a esos sitios y abandonar los nombres de dominio que no son ASCII.

Actualmente la mayoría de los navegadores utilizan un algoritmo que muestra los IDN en Punycode, cuando un dominio emplea caracteres correspondientes a sistemas de escritura múltiples.

Por ejemplo, si pinchamos sobre la dirección ɡmɑil.com, el navegador nos mostrará, en la barra de direcciones, el código Punycode https://www.xn--mil-gsb2f.com/, lo que nos permitirá saber que estamos ante una URL fraudulenta.

URL Ponycode para detectar phising homógrafo
Sin embargo, estas actualizaciones de los navegadores no garantizan una protección al 100%, por lo que es importante utilizar otros métodos que nos protejan de este tipo de ataques.

Como defensa adicional, Firefox 2.0 y superior y Opera 9.10 incluyen filtros de phishing que inten-tan alertar a los usuarios cuando visitan sitios web maliciosos.

También se pueden encontrar extensiones adicionales para proteger a los usuarios de este tipo de ataque. Por ejemplo, No Homo Graph, que está disponible para Chrome y para Firefox, verifica si el usuario está visitando un sitio web que es un homógrafo de otro dominio de una lista previamente definida.

Qué medidas podemos tomar los usuarios

  • Implementa la autentificación en dos factores en todas tus cuentas. De este modo, aunque proporciones tus contraseñas tras sufrir un ataque de estas características, los ciberdelincuentes no podrán acceder a ellas.
  •  Desconfiar de cualquier correo o SMS que pidan que realices una acción urgente  o que, por ejemplo, informen sobre una oferta extraordinaria; correos de banco que le solicitan iniciar sesión de manera inmediata en su cuenta.
  •  Nunca proporciones tus credenciales de usuario por correo electrónico.
  • Evita hacer clics en enlaces en correos electrónicos o SMS, especialmente si se trata de co-rreos inesperados o no solicitados. Si es posible, escribe la URl en la barra de direcciones del navegador. Le dedicarás solo unos segundos, y evitaras caer en cualquier tipo de estafa de este tipo.
  • Elige filtros de correo antiphising que incluyan dominios homógrafos.

Medidas que pueden tomar las empresas para evitar ser suplantadas

Existen medidas de seguridad que pueden utilizar las empresas para evitar que los ciberdelincuen-tes realicen ataques de phishing homógrafo utilizando su dominio.

  • Registro SPF
    Las empresas pueden  pedir a swu proveedor de correo la adopción del estándar SPF (Sender Policy Framework), un registro DNS que define los servidores de correo autorizados para enviar mensajes para un dominio.
    Cuando un servidor recibe un correo, comprueban el registro SPF para confirmar que los mensajes se han enviado desde servidores autorizados. Si no proviene de un dominio auto-rizado, el mensaje llegará como spam.
  • Protocolo DKM
    El protocolo DKIM (DomainKeys Identified Mail) es un complemento al registro SPF y ayuda a determinar si un mensaje debe considerarse spam.
    Se trata de un protocolo criptográfico basado en el uso de claves públicas en el DNS, que permite firmar los e-mails con un nombre de dominio, con lo que se valida el origen de los mensajes.
  • Protocolo DMARC
    El Protocolo DMARC (Autenticación, informes y conformidad de mensajes basados en do-minio) viene junto a SPF y DKIM, y verifica su aplicación de los protocolos SPF y DKIM, en especial la correspondencia entre la cabecera y el dominio emisor, y permite aplicar unas reglas con indicaciones sobre qué hacer en el caso de que un mensaje no pase las comprobaciones (rechazar, poner en cuarentena o no hacer nada).
    Además, puede enviar informes que muestran los mensajes validados y no validados procedentes de un dominio.
  • Compra de dominios homógrafos
    Es una medida que han tomado muchas grandes empresas, que deciden comprar dominios homógrafos, que pueden ser utilizados para suplantar su identidad, con el fin de evitar que puedan usarlos los ciberdelincuentes.

.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Blue Captcha Image
Refrescar

*