El phishing no va a desaparecer, de hecho, este cibercrimen ha reportado ganancias sustanciales gracias al temor generalizado que hay contra el coronavirus; empresas y organizaciones gastan una cantidad considerable de esfuerzo y dinero para garantizar que los correos de phishing nunca lleguen a las bandejas de entrada, dichas defensas no son infalibles, pero funcionan como una capa adicional de seguridad a tus sistemas, tal como lo es incluir en tu lista negra dominios de phishing conocidos.
¿Cuál es el estado actual del phishing?
¿Cuál es el clima del phishing en la actualidad? ¿Qué dicen los datos? Vamos a echar un ojo a lo que te enfrentas desde el 2020.
El Grupo de Trabajo Anti-Phishing (APWG acorde a sus siglas en inglés), es una coalición internacional de más de 2200 instituciones afectadas por este fenómeno informático que proporciona actualizaciones periódicas de las nuevas tendencias que surgen con este tipo de ataque; su último informe cubre el primer trimestre de 2020, estas son algunas de las ideas centrales de este:
El COVID-19 ha demostrado ser una tormenta perfecta para los oportunistas de phishing
Los ataques de phishing relacionados con el COVID-19 dirigidos a trabajadores y profesionales en el campo de la atención médica, así como a gente desempleada se convirtieron en una amenaza mayúscula a mediados del mes de marzo; la cifra incluye correos relacionados a Zoom, una de las principales plataformas para videoconferencias, que ha tenido una gran demanda para todo, desde reuniones de trabajo hasta reuniones en línea con amigos y familiares; puedes leer nuestro artículo sobre las estafas phishing en Zoom, aquí.
Los criminales informáticos también están usando la crisis que plantea este aumento en las comunicaciones comerciales; muchas empresas y organizaciones han estado recibiendo correos de sus proveedores con dominios similares, lo cual también fue efectivo para afectar la operatividad de las cadenas de suministro. Puedes descubrir qué otros problemas en tu seguridad pueden afectar tu correo electrónico comercial siguiendo este enlace.
El cuidado de la salud ha sido el objetivo de múltiples esquemas de phishing, la industria experimentó un aumento del 35% en los ataques, en comparación a años anteriores según un estudio de RISKIQ.
Los dominios de phishing siguen aumentando progresivamente por lo que la mayoría de las páginas se ven forzadas a actualizarse a protocolos SSL
El número de dominios de phishing registrado en el 2020 fue de 165.772, un poco más que la cifra registrada en el cuarto trimestre de 2019; este número ha tenido una tendencia al alza desde noviembre del mismo año, además de que el 75 % de todos los sitios phishing también usan SSL. El uso de este sistema de encriptación está teniendo un impacto negativo mayúsculo en quienes reciben phishing porque las estafas lucen más legítimas.
Todos estos datos evidencian que el phishing está vivo y activo como nunca, por lo vale preguntarse: ¿cuáles son los pasos proactivos que podemos tomar para mitigar el impacto de esta amenaza?
La lista negra es una opción, así como también lo son el uso de programas de educación y monitoreo de amenazas para crear un escudo sólido y robusto.
¿Por qué una lista negra?
La inclusión en listas negras crea un sistema de gobierno en torno a lo que llega a las bandejas de entrada, las listas negras pueden tener múltiples parámetros distintos, tales como la inclusión de los contenidos en los correos electrónicos y dominios.
El detalle con las listas negras, es que no siempre funciona a tu favor, hay dominios que se incluyen en la lista negra que no están relacionados a los ataques phishing, ya que no es factible determinar si dichos mensajes son o no spam.
Las listas negras no son una ciencia exacta, pero como propietario de red, puedes definir el contenido de estas, lo más fundamental es usarlas como herramienta para proteger a tus usuarios contra ataques phishing; la eficacia de esta depende de su tamaño, alcance, frecuencia de actualización, precisión y demás factores.
Tipos de dominios phishing que deben estar incluidos en tu lista negra
Existen varios tipos de dominios phishing, todos tienen un nivel de sofisticación diferente y acorde a la experticia del pirata informático que lo diseña, a continuación, te presentamos una descripción general de los ataques a dominios y cómo defenderse de ellos con listas negras.
Colisión entre el directorio activo y el espacio para nombres
El problema de la colisión de espacios para nombres describe una situación en la que una empresa tiene la intención de que un dominio se use expresamente para una superposición de audiencia interna, con dominios disponibles en la Internet abierta, lo cual es un escenario idóneo para los ataques phishing.
¿Por qué pasa esto? La raíz del problema se remonta al Directorio Activo de Microsoft, ya que, dentro de esta aplicación, se facilita el acceso a las computadoras o servicios de una red sin tener que escribir el nombre de dominio completo.
Esto no es causa de preocupación para la mayoría de los usuarios de Windows, pero el problema se hace notorio cuando la organización no posee ni controla la asignación del dominio de segundo nivel, lo cual genera una especie de laguna que puede causar daños catastróficos, especialmente en esta era de trabajo remoto y móvil.
Los peligros de la colisión de espacios para nombres
Una ilustración más precisa de los peligros de seguridad de la colisión de espacio para nombres incluye el dominio “corp.com.” Los expertos en dominios desde un principio lo etiquetaron como un dominio muy peligroso ya que su propietario hipotéticamente tendría el poder de acceder a redes empresariales a nivel mundial. Microsoft compró el dominio recientemente, el cual durante décadas fue propiedad de un ciudadano privado, la empresa dio así el paso para garantizar la protección de sus sistemas y usuarios.
Este escenario tiene mucho que ver con dominios de phishing potenciales, ya que los usuarios reciben mensajes que imitan sus propios dominios internos, donde comparten y almacenan documentos, por lo que un clic podría resultar en un acceso no autorizado, una serie de infracciones, o incluso la propagación de un malware.
La lección que debemos aprender aquí es que es necesario poseer dominios de segundo y tercer nivel, tales como los dominios “técnico.soporte.portal.website.com.” El propietario del dominio website.com también es propietario de esos otros niveles, pero este proceso se hace más complicado cuando tienes subdominios de segundo nivel.
En tu ruta para prevenir el phishing, necesitas asegurarte de poseer todos los niveles relacionados a tu dominio o poner en la lista negra que incluya los niveles que no poseas.
Dominios de phishing Typosquatting
Typosquatting es el dominio de phishing más básico que existe, este se aprovecha de los errores tipográficos que ocurren con bastante frecuencia; en esta situación lo que generalmente acontece es que alguien registra cualquier potencial falta de ortografía en tu dominio, así como versiones en singular o plural, uso de guiones u otras variaciones de confianza.
Están incluidos bajo los parámetros de typosquatting las fallas de interletraje, por ejemplo, en lugar de la letra «m», el dominio usa «rn», lo cual a primera vista se ve muy parecido al real, especialmente si el tipo de letra es pequeño, por ejemplo, como se ve desde el navegador en tu teléfono, lo cual es un escenario perfecto para que los phishers hagan sus objetivos muerdan el anzuelo.
Ejemplos de typosquatting
El typosquatting es ejecutable de múltiples maneras, aquí te mostramos algunos ejemplos:
Errores tipográficos: la idea es que muchos notan el error tipográfico, por lo que “goigle.com” puede pasar por “google.com.
Errores ortográficos: esto puede ocurrir con solo agregar o cambiar una letra, como por ejemplo cambiar “google.com” por “goggle.com”
Ortografía alternativa: muchas marcas usan ortografía única, por lo que los piratas informáticos crean sitios que se aprovechan de esto, un ejemplo de esto es una URL en la que cambiamos “findfotos.com” en lugar de usar el debido “findphotos.com”
Guiones: agregar u omitir un guión es una forma rápida de engañar a cualquier usuario, por ejemplo, el dominio de phishing podría ser “insta-gram.com”, en lugar de “instagram.com”
Agregar www: los dominios aún incluyen www, pero la denominación requiere un punto, si ves “www.google.com” este domino es auténtico, mientras que “wwwgoogle.com” no lo es.
Los empleados pueden ser engañados fácilmente
Si un correo electrónico llega al buzón de un empleado, es posible que este haga clic en él porque se ve muy similar a los mensajes que usualmente recibe, por lo que capacitar y educar a tus empleados sobre cómo funciona el phishing es otra defensa contra este, aunque el mejor escenario es cuando este tipo de mensajes nunca llegan a tus servidores.
Para protegerse contra estos ataques, debes realizar una búsqueda de los dominios actuales que presenten posibles errores tipográficos de tu dominio, siguiendo los ejemplos que mostramos anteriormente; si te das cuenta que algunos de estos están registrados, inclúyelos en tu lista negra, si existen otros, cómpralos y redirígelos a tu página de inicio real.
Registrador imitando phishing
La piratería de los registradores es poco común, pero sigue siendo un riesgo; si un criminal informático piratea un registrador, tiene acceso a todos los dominios incluidos en su base de datos; una vez dentro de este, pueden realizar los cambios que guste y clonar sitios web con el fin de propagar malware, así como redirigir todo el tráfico de tu página a un sitio malicioso.
Un ejemplo de esta modalidad es el reciente hackeo de un servicio de intercambio de criptomonedas japonés llamado Coincheck; para este ataque los piratas informáticos secuestraron un dominio en Oname.com y lo usaron para contactar a los clientes de la plataforma. El incidente detalla que luego de la incautación del dominio, se registró un dominio similar, reemplazando el dominio original, el dominio original era awdns-61.org. El nuevo era awsdns-061.org.
Desde este se enviaron correos de phishing selectivo a los usuarios de Coincheck, redirigiendo las respuestas a sus servidores; los hackers tuvieron el control de su dominio durante 48 horas, impactando al menos unos 200 usuarios.
Para este caso se aplican los mismos principios de conciencia de phishing, porque los dominios son diferentes; puede que no sea posible incluir en la lista negra estos dominios ya que no tienen los atributos normales de los dominios falsos, sin embargo, es algo que merece ser monitoreado adecuadamente, ya que, si se produce un intento de phishing y un empleado lo detecta, puede pasar el dominio a la lista negra en el acto.
TLD genéricos
Los TLD genéricos (dominios de nivel superior) están siendo usados muy frecuentemente, así como también va en aumento el registro de dominios con letras no latinas. Los phishers siempre están monitoreando de cerca los gTLD en busca de oportunidades que explotar.
Debido a que .com o .net, los más populares, a menudo no están disponibles, se han expandido mucho. Según Spamhaus, los gTLD más abusados son .rest, .tk, .gq., .fit, .work, .ml, .cf, .ga, .buzz y .cn.
Por ejemplo, los dominios .work están típicamente asociados con agencias de empleo o personas, algo como yourdomain.work puede parecer legítimo para gente involucrada en la industria del reclutamiento, sin embargo, a menos que realmente hayas comprado el dominio, existe la posibilidad de que te estés enfrentando a algo desconocido.
En función de este conocimiento, puedes incluir en tu lista negra cualquier dominio que use gTLD y que contenga tu sitio web, así como las aplicaciones que usan tus empleados.
Conclusión: Pon en la lista negra los dominios maliciosos, pero empodera a sus empleados
La inclusión en la lista negra de dominios phishing solo ofrece una protección limitada, por lo que en última instancia, tus empleados deben saber cómo evaluar los correos de phishing que resulten sospechosos; llegar a este nivel de alerta es posible con entrenamiento antiphishing simulado.