Los nombres de dominio internacionalizados (IDN, por sus siglas en inglés) permiten a los usuarios registrar nombres de dominio en casi cualquier idioma escrito, lo que favorece el multilingüismo en internet. Sin embargo, los caracteres Unicode de alfabetos no latinos facilitan que los ciberdelincuentes registren nombres de dominio para suplantar sitios web. Esta técnica de phishing, conocida como ataque homógrafo o spoofingde IDN, no es nada nuevo, pero hay noticias de que el problema va en aumento. Si no tiene tu dominio bajo vigilancia, tu marca está desprotegida puedes estar en peligro.
Caracteres y lenguas Unicode
Antes de entrar en los detalles de un ataque a un homógrafo IDN, primero debes entender la forma en que Unicode se traduce en letras en la pantalla. Un buen ejemplo es la comparación de las letras cirílicas en el idioma ruso con las letras latinas en el idioma español o inglés. En cualquier idioma, Unicode es el código informático utilizado para crear las letras que se ven en la pantalla.
Varias letras del inglés son iguales en otros idiomas, pero la «a» minúscula puede servir de ejemplo de homografía. En latín y en ruso, el carácter «a» minúscula tiene el mismo aspecto, pero los caracteres Unicode utilizados para mostrarlos son diferentes. En latín, el carácter «a» tiene un valor Unicode de «0061». En ruso, el carácter «a» tiene un valor Unicode de «0430». Debido a que los valores Unicode son diferentes, un ordenador ve estos dos caracteres como letras distintas, aunque parezcan iguales en la pantalla.
Utilizando letras homógrafas, el dominio «paypal.com» podría tener cuatro valores Unicode diferentes basados en las posibles variaciones con la letra «a». Son estas alternativas «parecidas» las que se utilizan en un ataque homográfico IDN
Homógrafos con varios caracteres
El uso de diferentes caracteres Unicode no es la única forma de engañar a los usuarios y realizar un ataque de homografía IDN. Algunas letras se parecen a otras cuando son adyacentes. Por ejemplo, las letras «rn» se parecen a la letra «m» cuando se combinan. Para los usuarios que no presten atención, podrían mirar rápidamente el dominio y ver la «m» cuando el dominio tiene una combinación de «rn».
Como ejemplo, tu podrías tener un dominio comercial llamado «ejemplo.com». Un atacante puede registrar el dominio «ejermplo.com» y algunos usuarios serán engañados para abrir el sitio. Este ataque de homógrafos IDN requiere que los usuarios vean brevemente el dominio y no reconozcan el error tipográfico, pero sigue siendo una forma muy eficaz de suplantar las credenciales de los usuarios.
Cuando los usuarios acceden al sitio, un atacante se aseguraría de utilizar el mismo diseño, gráficos y texto que su sitio oficial lo ques llamado pishing . Siempre que el usuario no se dé cuenta del error tipográfico en el nombre del dominio, un atacante puede engañar a los usuarios objetivo para que introduzcan credenciales, datos privados y cualquier otra información que pueda ser utilizada para el robo de identidad, amenazas persistentes avanzadas en la red corporativa o violaciones de datos.
Suplantación de identidad con ataques homógrafos
Ahora que sabes que los caracteres pueden parecer iguales pero tener valores informáticos diferentes, aplica esto a un nombre de dominio estándar. Si ves «paypal.com» en tu navegador, se verá igual si los caracteres «a» estuvieran en ruso o en inglés. Sin embargo, como sabes que estas letras tienen valores Unicode diferentes, se traducen en nombres de dominio diferentes y en unos y ceros diferentes en binario.
Los hackers utilizan este fenómeno para engañar a los usuarios y hacer que accedan a un sitio de phishing con el mismo aspecto que el sitio oficial. Utilizando el ejemplo de «paypal.com», un atacante puede registrar «paypal.com» utilizando letras cirílicas para los caracteres «a» y luego copiando el contenido del sitio web oficial de PayPal, incluido el diseño. Los usuarios que hagan clic en el dominio de phishing malicioso verán «paypal.com» en su navegador, verán el diseño de PayPal cuando se cargue la página y luego introducirán las credenciales de su cuenta de PayPal.
La forma en que un atacante entrega la URL maliciosa es similar a cualquier otro ataque de phishing. La URL podría entregarse en un correo electrónico. Como el nombre de dominio sería legítimo, un atacante podría enviar un correo electrónico utilizando el nombre de dominio homónimo. Los filtros de correo electrónico que detectan las direcciones de correo electrónico falsas no etiquetarían estos mensajes como maliciosos, ya que estarían utilizando un dominio de correo electrónico legítimo.
Qué puede hacer para protegerse de los ataques de homógrafos de IDN
Es muy costoso comprar todos los posibles nombres de dominio que podrían ser utilizados en este tipo de ataque, pero puedes tomar medidas para evitar que los usuarios internos caigan en él. La primera es implementar la autenticación de dos factores (2FA). Si un usuario cayera en una estafa de phishing en un dominio homográfico, el atacante seguiría sin poder autenticarse en la cuenta comprometida.
Si tiene páginas de autenticación en tu sitio, se puede utilizar la inteligencia artificial mediante bibliotecas de terceros para determinar si hubo una posible violación de la cuenta. Por ejemplo, supón que los usuarios que se encuentran en los Estados Unidos pero que un intento de autenticación se produjo desde otro país. Esto podría ser una señal de que la cuenta del usuario ha sido comprometida. Los atacantes pueden utilizar VPN públicas, pero también puede adquirir bases de datos con listas de VPN para obtener una notificación si el atacante anónimo está implementando formas de ocultar su dirección IP.
La formación de los usuarios también ayuda a detener los ataques de phishing e ingeniería social. Los usuarios nunca deben limitarse a hacer clic en un enlace y luego enviar la información de autenticación. En su lugar, cualquier actividad que requiera autenticación debe realizarse después de que el usuario escriba el dominio en una ventana del navegador. Sólo entonces el usuario debe introducir los datos de autenticación. Este método garantiza que los usuarios nunca sean víctimas de phishing desde correos electrónicos o cualquier otro enlace malicioso en Internet.
Lamentablemente, los filtros de correo electrónico no serán eficaces contra este tipo de ataque, a menos que el dominio malicioso esté en una lista que pueda descargarse con algunos sistemas antimalware. Los filtros de correo electrónico son buenos para detectar el phishing, pero suelen funcionar con técnicas específicas de anti-spoofing. Con los dominios homográficos, el dominio es legítimo y no es necesario el spoofing.
Los filtros de contenido utilizan una lista de dominios maliciosos para bloquear el acceso de los usuarios. Algunos dominios homográficos podrían estar en una lista y serán filtrados si se restringe el acceso de los usuarios basándose en estos dominios de la lista negra. Sin embargo, como los atacantes utilizan dominios en otros idiomas, cualquier filtro que funcione en inglés no los detectará. Cuando elija un filtro, asegúrese de que incluya los dominios homográficos.
Conclusión
Los ataques homográficos IDN son difíciles de defender, pero se puede enseñar a los usuarios para que nunca hagan clic en los enlaces ni introduzcan las credenciales de autenticación
