Cómo detener los ataques de typosquatting

Typosquatting es una forma de atraer a los usuarios para que divulguen datos confidenciales a los cibercriminales. Debes aprender a proteger tu organización, tu proyecto de código abierto y a ti mismo.

Los ciberdelincuentes están recurriendo a la ingeniería social para tratar de engañar a personas desprevenidas para que divulguen información privada o credenciales valiosas. Está detrás de muchas estafas de phishing donde el atacante se hace pasar por una empresa u organización de buena reputación. Luego utilizan esta información como un frente para distribuir un virus u otro tipo de malware.

Uno de esos riesgos es el typosquatting, una forma de ataque de ingeniería social que intenta atraer a los usuarios a visitar sitios maliciosos. La URL del sitio contiene errores ortográficos comunes que lo hacen parecer un sitio legítimo. Estos sitios pueden causar un daño significativo a la reputación de las organizaciones que son víctimas de estos atacantes. Asimismo, pueden dañar a los usuarios que son engañados para que ingresen detalles confidenciales en sitios falsos. Tanto los administradores del sistema como los usuarios deben conocer los riesgos y tomar medidas para protegerse.

El software de código abierto, que es desarrollado y probado por grandes grupos en repositorios públicos, a menudo es elogiado por sus beneficios de seguridad. Sin embargo, cuando se trata de esquemas de ingeniería social e implantación de malware, incluso las herramientas de código abierto pueden ser víctimas.

Este artículo analiza la tendencia al alza de typosquatting y lo que estos ataques podrían significar para el software de código abierto en el futuro.

¿Qué es typosquatting?

Typosquatting es una forma muy específica de cibercrimen que a menudo está vinculada a un ataque de phishing más grande. Comienza con la compra y el registro de un nombre de dominio de parte del cibercriminal que contiene un error ortográfico de un sitio popular. Por ejemplo, el cibercriminal podría agregar una vocal adicional o reemplazar una “i” con un carácter en minúscula “l”. A veces, un ciberdelincuente obtiene docenas de nombres de dominio, cada uno con una variación de ortografía diferente.

Un ataque de typosquatting no se vuelve peligroso hasta que los usuarios reales comienzan a visitar el sitio. Para que eso suceda, el criminal ejecuta una estafa de phishing, generalmente por correo electrónico. Esto para instar a las personas a hacer clic en un enlace y visitar el sitio web de typosquatting. Normalmente, estas páginas falsas tienen pantallas de inicio de sesión simples con logotipos parecidos que intentan imitar el diseño de la compañía real.

Generalmente, el usuario no se da cuenta de que está visitando un sitio web falso e ingresa detalles confidenciales. Por ejemplo, su contraseña, nombre de usuario o número de tarjeta de crédito. Después el ciberdelincuente obtiene acceso completo a esos datos. Si un usuario está utilizando la misma contraseña en varios sitios, es probable que también se aprovechen sus otras cuentas en línea. Este es el pago de un cibercriminal: robo de identidad, informes de crédito arruinados, registros robados y, a veces, peor.

Algunos ataques recientes

Desde el punto de vista de la empresa, tener un ataque de typosquatting conectado a su nombre de dominio puede ser un desastre de relaciones públicas. Esto a pesar de que no juega un papel directo en él, porque se considera una administración irresponsable de Internet. Como propietario de un dominio, tienes la responsabilidad de ser proactivo en la defensa contra errores tipográficos para limitar el dolor causado por este tipo de fraude.

Hace unos años, muchos clientes de seguros de salud en Estados Unidos fueron víctimas de un ataque de error tipográfico. Esto cuando recibieron un correo electrónico de phishing que apuntaba a we11point.com, con el número 1 reemplazando el carácter “l” en la URL.

Cuando se cambiaron las reglas de nombres de dominio internacionales. Esto para permitir que cualquiera registre una URL con una extensión previamente vinculada a países específicos, se creó una nueva ola de ataques de tipo tyatquatting.

Uno de los más frecuentes que se ven hoy en día es cuando un cibercriminal registra un dominio .om que coincide con un dominio .com popular para aprovechar las omisiones accidentales de la letra “c” al ingresar una dirección web.

Cómo proteger tu sitio web de los errores tipográficos

Para las empresas, la mejor estrategia es tratar de mantenerse a la vanguardia de los ataques de typosquatting.

Eso significa gastar el dinero para marcar tu dominio y comprar todas las URL relacionadas que podrían ser errores ortográficos fáciles. No es necesario que compres todas las variantes de dominio de nivel superior del nombre de tu sitio. Empero, al menos debes centrarte en errores ortográficos comunes en el nombre de tu sitio principal.

Si necesitas enviar a tus usuarios a sitios de terceros, hazlo desde tu sitio web oficial, no en un correo electrónico masivo. Es importante establecer firmemente una política que la comunicación oficial siempre y solo envíe a los usuarios a tu sitio. De esa manera, si hay un intento cibercriminal de falsificar la comunicación de parte tuya, tus usuarios sabrán que algo anda mal cuando terminen en una página o una estructura de URL desconocida.

Puedes usar una herramienta de código abierto como DNS Twist. Esta herramienta sirve para escanear automáticamente el dominio de tu empresa y determinar si ya podría haber un ataque de tipo tyatquatting en progreso. DNS Twist se ejecuta en sistemas operativos Linux y se puede usar a través de una serie de comandos de shell.

Otras opciones

Algunos ISP ofrecen protección contra errores tipográficos como parte de su oferta de productos. Esto funciona como una capa adicional de filtrado web. Si un usuario de tu organización escribe incorrectamente una URL común, se les alerta de que la página está bloqueada y redirigida al dominio adecuado.

Si eres administrador del sistema, considera ejecutar tu propio servidor DNS junto con una lista negra de dominios incorrectos y prohibidos.

Otra forma efectiva de detectar un ataque de tipo typosquatting en progreso es monitorear de cerca el tráfico de tu sitio. También puedes establecer una alerta para una disminución repentina de visitantes de una región en particular. Podría ser que una gran cantidad de tus usuarios habituales hayan sido redirigidos a un sitio falso.

Al igual que con casi cualquier forma de ciberataque, la clave para detener el typosquatting es la vigilancia constante. Tus usuarios cuentan contigo para identificar y cerrar cualquier sitio falso que esté operando bajo tu nombre. Porque si no lo haces, podrías perder la confianza de tu audiencia.

Amenazas de Typosquatting al software de código abierto

La mayoría de los principales proyectos de código abierto pasan por pruebas de seguridad y penetración, en gran parte porque el código es público. Sin embargo, los errores ocurren incluso en las mejores condiciones. Aquí hay algunas cosas a tener en cuenta si participas en un proyecto de código abierto.

Cuando recibas una solicitud de fusión o un parche de una fuente desconocida, revísalo cuidadosamente antes de fusionarlo, especialmente si hay una red involucrada. No caigas en la tentación de probar solo tu compilación. Revisa el código para asegurarte de que nada nefasto se haya incrustado en una mejora funcional.

Además, debes ser riguroso para proteger la identidad de tu proyecto como lo hace una empresa para su dominio. No permitas que un cibercriminal cree sitios de descarga alternativos y ofrezca una versión de tu proyecto con código dañino adicional. Debes usar firmas digitales, como las siguientes, para crear una garantía de autenticidad para tu software:

También debes proporcionar una suma de verificación para el archivo que entregas:

Debes proporcionar estas garantías incluso si no crees que tus usuarios las aprovecharán. Esto porque todo lo que se necesita es que un usuario perceptivo note una firma faltante en una descarga alternativa. Este usuario te alertará de que alguien, en algún lugar, está falsificando tu proyecto.

Conclusiones

Los humanos son propensos a cometer errores. Cuando millones de personas en todo el mundo escriben una dirección web, no sorprende que un cierto porcentaje ingrese un error tipográfico en la URL. Los ciberdelincuentes están tratando de capitalizar esa tendencia con typosquatting.

Es difícil evitar que los ciberdelincuentes registren dominios que están disponibles para la compra. Por lo tanto, debes mitigar los ataques de typosquatting centrándote en las formas en que se propagan. La mejor protección es generar confianza con tus usuarios y ser diligente en la detección de intentos de error tipográfico. Juntos, como comunidad, todos podemos ayudar a garantizar que los intentos de typosquatting no sean efectivos.