¿Qué son los ataques typosquatting?

¿Has tecleado rápidamente tu web favorita en tu ordenador o con tus dedos supersónicos en tu teléfono y te has comido una letra? ¿O has cambiado el orden de las letras? 

Así “Wikipedia” se convierte en “wikipedai”. Eres humano, has cometido un error de tipografía. A veces el link no conduce a ninguna parte y, a veces, te lleva a un sitio que se parece al correcto. Has sido víctima de un error tipográfico.

El fenómeno no es reciente, pero todavía funciona. Pero… ¿por qué funciona? ¿Cuál es esta técnica tan simple, pero efectiva?

Typosquatting vs Cybersquatting, ¿Cuál es la diferencia?

La técnica del Typosquatting

El typosquatting es una forma de ataque de ingeniería social. Esta técnica consiste en imitar un sitio legítimo. Esto también es llamado secuestro de URL o suplantación de dominio. Los cibercriminales compran un nombre de dominio similar al original.

En términos concretos, este puede ser:

• Una ortografía muy cercana al sitio oficial
• Una inversión de dos caracteres
• Homoglifos (uno de dos o más grafemas, caracteres, o glifos con formas que aparentan ser idénticas o no pueden distinguirse mediante una inspección visual rápida)
• Extensiones de dominio secuestradas
• Adición de un guión

Por ejemplo: “amazone.com” vs. “amazon.com”. Amazon ha comprado los nombres de dominio Amazone.com para que este caso sea redirigido al sitio correcto.

El objetivo del hacker es conseguir tráfico, clics y visitas gracias a la notoriedad del sitio objetivo. La víctima carece de vigilancia, no observa detalladamente el nombre del dominio y queda atrapada. Se encuentra en una web fraudulenta, casi idéntica, con una imagen gráfica similar y el mismo diseño. Lo único que deben hacer los delincuentes es obtener la información personal.

La técnica del cybersquatting

El cybersquatting consiste en el uso del nombre de la marca, comprando un nombre de dominio correspondiente a una marca. Al revender el nombre del dominio, la persona puede obtener un beneficio financiero. En este caso, el dominio registrado es similar a la marca. Esta técnica puede ser considerada una forma de competencia desleal. Por lo tanto, a la marca en cuestión le interesa adquirir los distintos nombres de dominio que podrían utilizarse. Por ejemplo “levis.com” vs. “levis.fr”.

Un caso típico en Francia es el de la compañía de reparación de cristales Carglass. ¿Quién no ha visto el anuncio de Carglass, que dice claramente al final del spot que hay que escribir la dirección correcta? “Para estar seguro de llegar a nuestra web, no escriba simplemente Carglass sino Carglass punto FR” ¿Por qué usan ese copy? La empresa rechazó el juego del pago referenciado impuesto por los motores de búsqueda. Su política es familiarizar a los internautas con la dirección de la web para que la escriban correctamente y evitar así cualquier riesgo de suplantación de identidad.

Si la dirección está mal escrita, el enlace puede llevar a un sitio humorístico o satírico, o a páginas de “búsqueda relacionada”.

El typosquatting se utiliza a menudo para obtener la identificación de los visitantes de un sitio, mediante encuestas o promociones.

Ejemplo de una oferta promocional de una web falsa de Air France 

Cibertaques en alza

Variantes de typosquatting 

Esta técnica aparentemente inofensiva suele ser el inicio de la suplantación de identidad, la transferencia de malware… El número de registros característicos del typosquatting o cybersquatting aumenta constantemente.

El uso de los nombres de dominio más comunes, como “.com” y “.net”, está disminuyendo gradualmente. En cambio, el uso del nombre de dominio “.om” está en alza y las ventas de nombres de dominio no dejan de aumentar.

Según un estudio realizado por la consultora High-Tech Bridge “la vida media de un sitio fraudulento es de 1.181 días, es decir, más de 3 años. Los sitios Cybersquatting

 tienen una esperanza de vida de 431 días”.

Recientemente una nueva forma de typosquatting ha sido detectada. En esta ocasión la técnica no está dirigida al usuario medio sino al desarrollador que instala paquetes de Python desde el PyPI (Python Package Index). El código `malo´ estaba escondido en el repositorio. Un paquete representa los ataques a la cadena de suministro de software de próxima generación que se basan en el typosquatting.

En marzo de 2022, fue el turno de los desarrolladores de Microsoft Azure a través de paquetes npm maliciosos. El typosquatting se utilizaba para intentar engañar a los desarrolladores para que descargaran archivos maliciosos.

La lista de paquetes maliciosos se puede consultar aquí: https://jfrog.com/blog/large-scale-npm-attack-targets-azure-developers-with-malicious-packages/

Otro ejemplo concierne a los ataques dirigidos a las plataformas NFT que están en constante aumento. Los cibercriminales usan nombres de dominio que se hacen pasar por estas plataformas, como fue el caso de Rarible.com. Esto conduce a las víctimas a descargarse el software malicioso.

El typosquatting puede afectar a las compañías, pero también a la Administración y Servicios Públicos. La ANSSI (Agencia Nacional Francesa para la Seguridad de Sistemas de Información) ha identificado la compra de nombres de dominios falsos que se asemejan a las de las instituciones francesas. Otro ejemplo bien conocido en el mundo virtual es el de John Zuccarini, que ha estado usando esta técnica desde 2001. Zuccarini encontró aproximadamente quince variantes de cartoonnetwork.com y 41 del nombre de la cantante Britney Spears. Fue capturado por la justicia y condenado a 30 meses de prisión y 164.000 dólares de multa.

El grupo ruso Nobelium (el mismo grupo responsable del ataque Solarwinds) se está preparando para una campaña de typosquatting. Según los investigadores estadounidenses, el grupo “ha utilizado ampliamente los dominios typosquat en los certificados SSL y probablemente continuará utilizando técnicas engañosas, incluyendo la redirección typosquat, al utilizar las herramientas Cobalt Strike”.

Las consecuencias de estos ataques

El typosquatting puede parecer simple y, a veces, inofensivo, pero puede permitir al ciberatacante:

• Obtener las credenciales de acceso y otros datos personales.
• Instalar extensiones maliciosas
• Instalar keyloggers
• Redirigir a la víctima a un sitio web de la competencia y así perder mercado
• Desarrollar el hacktivismo
• Dañar la imagen del sitio web o de la marca integrando contenidos cuyo objetivo es dañar la imagen del sitio web oficial.

¿Qué soluciones se pueden adoptar para protegerse?

 A nivel legal

En España las marcas pueden acudir a la vía judicial, amparadas por la Ley de Marcas y la ley de Competencia Desleal. 

También existe la corporación de Internet para la Asignación de Nombres y Números. Si una marca registrada es objeto de un fraude puede acudir a esta corporación para resolverla, mediante el mecanismo Política Uniforme de Resolución de Disputas por Nombres de Dominio o UDRP. 

En el caso de dominios .es se establece un sistema de resolución extrajudicial de conflictos previsto en el Plan Nacional de Nombres de Dominio, el cual otorga a la Entidad Pública Red.es la función de autoridad de asignación.

A nivel técnico

Para protegerte a ti mismo del typosquatting, desde TEHTRIS te recomendamos:

• Añadir un marcador a tus sitios favoritos
• Comprobar la ortografía de las URLs
• Comprobar el remitente del email
• Hacer backups regularmente de tus datos en medios externos
• Comprobar la consistencia del texto del email (ortografía, sintaxis, etc) y estar atento a las ofertas demasiado generosas (billetes de avión gratuitos, etc.)
• Actualizar todos los equipos informáticos
• Comprueba las cifras del tráfico de la web (por ejemplo, en Google Analytics)
• Configura y ejecuta el servidor interno del sistema de nombres de dominio, dentro de una empresa.
• Usa herramientas de código abierto que comprueben si se ha producido un ataque typosquatting: ejemplo dnstwist

Además de estas buenas prácticas, te recomendamos adoptar soluciones de seguridad capaces de detectar y, especialmente, neutralizar en tiempo real todo tipo de malware. 

Los ataques de ingeniería social están, a menudo, basados en la manipulación psicológica de los individuos y en sus debilidades. Typosquatting es un buen ejemplo de este tipo de ataques. Nadie es infalible. La urgencia, el estrés, la falta de atención… Todo es propicio para hacer una mala jugada.

Ya lo dijo Thomas Jefferson: “El precio de la libertad es la eterna vigilancia”.

La entrada ¿Qué son los ataques typosquatting? aparece primero en Globb Security.