Lookalike domains, todos en el punto de mira

El registro de dominios similares, o lookalike domains como se denominan en el argot de ciberseguridad, por parte de actores maliciosos no es nuevo, se diría que casi tan antiguo como la propia wide world web.

Cuando empezó a generalizarse el uso de la web a nivel comercial, no era raro encontrar noticias sobre individuos u organizaciones que se habían dado prisa en registrar a su nombre dominios de marcas conocidas en las que simplemente variaba el dominio o el nombre tenía alguna variación mínima sobre el original. Entonces se veía aquello como una especie de “picaresca”, alguien que se había dado cuenta de una variación sin registrar y trataba con ello de revenderlo a la empresa en cuestión.

Muchos años después, estas prácticas se han sofisticado y sistematizado, y los actores maliciosos las usan para algo más que para dar un pequeño “pelotazo”. Se denomina lookalike domain a un dominio de Internet con una denominación y aspecto parecido – a veces incluso indistinguible- al del dominio legítimo, y que es utilizado por los actores de ciberamenazas para engañar a los usuarios, redirigirles a sitios maliciosos con intención de llevar a cabo ataques de todo tipo.

Otra de las características de la explotación de lookalike domains en la actualidad es que es algo que puede afectar a todo tipo de organizaciones. Si en un principio se buscaba siempre plagiar dominios de grandes empresas globales, cuyos sitios web eran visitados diariamente por millones de personas de todo el mundo, hoy día cualquier organización está en el punto de mira. Desde el sitio de uno de los gigantes tecnológicos al de un restaurante de moda.

Efectivamente, a pesar de las campañas de concienciación y de los avances tecnológicos, los Lookalike Domains siguen representando una amenaza persistente para usuarios y organizaciones. Entre los objetivos de los ciberatacantes que utilizan lookalike domains se encuentran restaurantes, bufetes de abogados y otras pequeñas empresas. Además, un mismo actor puede utilizar como señuelos tanto marcas conocidas como pequeñas empresas. Por ejemplo se ha detectado que una de las victimas ha sido un conocido restaurante de Nueva York, al que han copiado su sitio web, presumiblemente para atraer a los visitantes a hacer reservas con sus tarjetas de crédito.

Plagio cada vez más sofisticado

La imitación de dominios utiliza técnicas cada vez más sofisticadas: no se limitan a imitar el aspecto de los dominios legítimos hasta el punto de ser idénticos, sino que llegan a incluir los sistemas de autenticación multifactor (MFA) del dominio plagiado, para incrementar la credibilidad del sitio y hacer pensar al usuario que la conexión es segura.

Uno de los factores que promueven el uso de estas técnicas de engaño es que son muy rentables, porque resulta relativamente barato registrar nombres de dominio y da la capacidad de realizar ataques a gran escala. Los atacantes tienen la ventaja de la escala, y mientras que las técnicas para identificar la actividad maliciosa van siempre un paso por detrás.

Técnicas para la creación de nombres de dominio similares también se ha sofisticado. Si hace años se buscaba el engaño mediante homógrafos, es decir, nombres de dominio en los que sólo varía algún caracter, que es similar al original (por ejemplo teclear “go0gle” en vez “google”) en la actualidad el grado de sofisticación está varios niveles por encima. A partir de la aceptación de caracteres Unicode para incluir caracteres diferentes al alfabeto latino, las posibilidades de engaño se han disparado. Se dan casos de símbolos que son absolutamente idénticos en apariencia pero que responden a caracteres Unicode distintos. Por ejemplo, hay dos caracteres cirílicos absolutamente idénticos a la “c” y la “o” latinas, y se dio el caso de un registro fraudulento de Microsoft[.]com en el que ni la “c” ni la “o” eran realmente esos caracteres.

Y hay más: typosquats, que buscan aprovechar los errores del usuario al introducir por teclado el nombre del sitio, como nombres de dominio con caracteres duplicados, dominios alternativos, etc. combosquats, que combinan un nombre de dominio muy conocido con otras palabras clave, como “soporte”, “ayuda”, “seguridad” o “contacto”, soundsquats, que utilizan nombres de dominio que se pronuncian igual (esta técnica ha cobrado importancia con el desarrollo de sistemas de reconocimiento de voz como Alexa, Siri y Google Voice). Por último mencionar una forma más específica de uso de sitios fraudulentos: repositorios de paquetes de determinados lenguajes de programación populares, como Python. Se utilizan las técnicas anteriores para dirigir al programador a sitios fraudulentos con bibliotecas de esos lenguajes que incluyen scripts maliciosos, burlando los mecanismos de seguridad.

El uso de lookalike domains está vinculado generalmente a ataques masivos, no específicos, realizados utilizando diferentes vectores de ataque, como spam de correo electrónico, banners publicitarios, redes sociales y mensajes SMS. Diariamente se registran miles de nuevos dominios que imitan las páginas de proveedores de software populares, proveedores de servicios, instituciones financieras, sitios de criptomonedas y servicios de soporte, entre otros. El objetivo, en la mayoría de los casos es redirigir al usuario a una web fraudulenta y obtener credenciales y datos personales y financieros de las víctimas. Asimismo buscan infectar las máquinas con malware (ataques C2, Command and Control) y poder acceder a redes corporativas y hacerse con el control de sistemas.

Joaquín Gómez, CyberSecurity Lead Southern Europe, Infoblox

Infoblox_Joaquin_Gomez

Joaquín Gómez de Infoblox

Lookalike domains, todos en el punto de mira

AV-TEST reconoce a Kaspersky VPN por su alta eficacia en velocidad y rendimiento

9 de cada 10 ciberataques se llevan a cabo a través del acceso remoto

Fallos de acceso y exposición de datos en las aplicaciones web corporativas