Brand Abuse, Digital Fraud

Cómo una letra vuelve indetectables a los emails de phishing

Por André Luiz Rodrigues en
COMPARTIR

Si está bien al corriente, ya debe saber que recientemente hablamos sobre  spear phishing, el fraude vía email enviado directamente a una persona o grupo específicos, y también sobre ataques que muestran URLs exactas para engañar al visitante. Sólo que, para empeorar las cosas, llega el momento en que estas dos tácticas se unen: un estudio de Offensity mostró que caracteres escondidos en algunos dominios del remitente ¡no son detectados por los principales servicios de Webmail!

 

Más emails de phishing y ¡más sofisticados!


El estudio de Offensity se llevó a cabo por medio del registro de un dominio que utilizó unicodes, que son los caracteres especiales que no están en el alfabeto de los idiomas de origen latino (como lo es el nuestro). 

En ataques de cybersquatting (el registro malintencionado de dominios similares), los caracteres Unicode son generalmente extraídos del alfabeto cirílico, que lo utilizan idiomas como el ruso. La gran ventaja —para los criminales— es que, cuando se los exhibe de la manera correcta (sin errores de visualización), esas letras pueden ser idénticas a una letra del alfabeto latino.

Para hacer esta prueba en los emails, el personal de Offensity registró un dominio con el а1.digital. Parece no contener nada extraño, ¿verdad? Bien, la primer “a” de este dominio en realidad viene del alfabeto cirílico. Cuando se lee “de la forma incorrecta”, adaptado para nuestro alfabeto, aparece así:

xn--1-7sb.digital

Totalmente diferente, ¿cierto? A este sistema de conversiones de caracteres que no pueden leerse en el sistema/alfabeto romano, le damos el nombre de punycode. Sin embargo, el gran tema aquí es que solamente algunos lugares consiguen hacer esa conversión —en otros, la “a” va a aparecer naturalmente como un caracter prácticamente idéntico al del alfabeto latino. 

Con ello, es posible pensar en innumerables posibilidades de tantos otros dominios que pueden confundir a una persona (incluso a la más experiente en seguridad digital) sobre la veracidad de un contenido. El camino más obvio para la ciberdelincuencia es, entonces, la creación de phishings para la captura de datos sensibles como logins, contraseñas y números de tarjetas de crédito.

 

El problema del punycode de los principales servicios de Webmail


Para probar cuáles emails no mostrarían los caracteres punycode al usuario (lo que podría hacer que cayera en ataques de phishing), Offensity probó el envío del email y la opción de respuesta de los mensajes en 7 productos diferentes: Outlook (desktop y mobile), Office365 Web, Gmail (web y mobile), Apple Mail (para iPhone) y Thunderbird (Mozilla).

De todos, solamente Outlook en su versión mobile y Apple Mail para iPhone mostraron la verdadera faceta del punycode en la recepción y en el momento de responder el email del destinatario que usaba el dominio creado. Gmail en versión web fue el único que llegó a la mitad de camino, desenmascarando el problema solamente en el momento de hacer clic en “responder”. 

¿Qué significa esto? Si sacamos algunas cuentas, los resultados de esta prueba muestran que la tasa de éxito, para que un usuario de los principales servicios de Webmail confirme que el dominio no es el que parece, es de apenas 35,7%.

 

¿Cuál es la mejor estrategia para evitar el éxito de Unicode?


Bien, para evitar ser atrapado por dominios Unicode con intenciones fraudulentas puede iniciar con un ojo más clínico. Ahora que conoce la existencia de estos peligros —y como el primer paso para cambiar las cosas en la vida es el conocimiento—, tal vez sea una buena idea ver cómo esos caracteres se obtienen. Así como es fácil para un defraudador conseguir un carácter del cirílico por medio de una búsqueda en Google, también el camino inverso es fácil de hacer.

En un sitio como Punycoder es posible colocar caracteres y frases (o un texto entero, si lo prefiere) que fueran escritos en Unicode para que aparezcan con el famoso “xn--” al inicio. Pero, considerando que esta debería ser una responsabilidad de los servicios de Webmail, parece que sería bastante costoso para un usuario colocar todos los dominios de email recibidos en un “verificador” externo, ¿verdad?


La solución final: protección de marca y de dominios

¡Pues sí! La tan buena como antigua preocupación de una empresa por lo que se está diciendo de ella o haciendo con su marca parece que también debe abarcar a las nuevas tecnologías (y actualizaciones de los criminales cibernéticos). Al pensar en problemas con unicodes, una estrategia buena y necesaria para las empresas que desean proteger su reputación on-line es el monitoreo de dominios

Funciona así: usted busca una solución y/o producto de monitoreo que incluya planificación estratégica de las funciones Unicode y, luego, sólo tiene que esperar las alertas que llegarán tan pronto como un dominio similar al de su marca, con cualquier cambio de caracter, sea registrado. ¿Una sugerencia? Conozca nuestra solución para nombres de dominio similares y vea lo que podemos hacer por usted.

event-image

ESPECIALISTA CONVIDADO

Eduardo Schultze, Coordenador do CSIRT da Axur, formado em Segurança da Informação pela UNISINOS – Universidade do Vale do Rio dos Sinos. Trabalha desde 2010 com fraudes envolvendo o mercado brasileiro, principalmente Phishing e Malware

AUTOR

André Luiz Rodrigues

Periodista y Content Creator de Axur, responsable por el Deep Space y actividades de prensa. Por aquí, también ya he analizado muchos datos y estafas como miembro del equipo de Brand Protection. Resumen: trabajar con tecnología, información y conocimiento en conjunto es uno de mis más grandes amores!