Una de las artimañas más frecuentes por parte de las campañas de phishing es la suplantación de dominios, una treta tan sutil como peligrosa para el usuario, en la cual los atacantes logran 'camuflarse' de empresas legítimas. Por lo tanto, comprender sus trucos es esencial para protegerse.
Homoglifos: el engaño visual
A menudo, los ciberdelincuentes registran dominios similares a los de organizaciones legítimas, confiando en que sus diferencias pasen desapercibidas. Se aprovechan para ello de los "homoglifos": caracteres visualmente similares. Por ejemplo, una "L" minúscula (l) podría confundirse fácilmente con la letra capital "i" (I). Esta treta se usa mucho en redes sociales, por ejemplo.
La letra 'o' y el número '0' ya se parecen algo menos, pero… ¿Sabrías distinguir la 'o' del alfabeto latino de la del alfabeto griego o el cirílico? Ante nuestros ojos, parecen la misma letra… pero un ordenador no las reconoce como tal.
Combosquatting: la fusión engañosa
El 'combosquatting' ha ganado popularidad entre los cibercriminales. Consiste en crear dominios que combinan nombres de empresas con palabras clave relevantes, o que meramente añaden artículos (un, el, los) o guiones. Así, por ejemplo, 'el-pais.com', 'Genbeta-noticias.com' o 'CartasCorreos.com' serían ejemplos de combosquatting. Basta con crear una apariencia de legitimidad para que la mayoría de los usuarios caiga en el engaño.
TLD Squatting: el cambio sutil
Los ciberdelincuentes a veces van un paso más allá y registran 'duplicados' en dominios de nivel superior diferentes, como 'microsoft.co' en lugar de 'microsoft.com'. Este enfoque, conocido como "TLD Squatting", mantiene el nombre mientras cambia la extensión del dominio. Este engaño puede ser excepcionalmente efectivo, como se demostró recientemente cuando se supo que el Departamento de Defensa de EE. UU. lleva años enviando correos con material secreto a dominios de un país africano.
Typosquatting: aprovecharse de las metidas de pata tipográficas
El 'typosquatting' es quizá el método más simple a la par que efectivo: aquí, los ciberdelincuentes explotan errores tipográficos comunes y difíciles de detectar por el usuario —que actúa con la tranquilidad de haber accedido él mismo a la URL, sin la desconfianza del que clica en un enlace que le han enviado—.
Esos errores pueden ser la duplicación o eliminación de letras, el cambio de los signos de puntuación o el reemplazo de letras con sonidos similares. De ahí, tendríamos 'genveta.com' o 'egnbeta.com'. Esta táctica fue inicialmente utilizada por meros spammers, pero ahora se combina con sitios web falsos para campañas de phishing.
Vía | Kaspersky