Ya hemos visto en este blog cómo proteger un dominio de falsificaciones de manera de disminuir el riesgo de que un ciberdelincuente suplante la identidad de nuestra organización utilizando nuestro mismo dominio en sus correos de Phishing.
Esto, sin embargo, no detendrá a un ciberdelincuente. Lo más común en este caso es que, frente a la protección del dominio original, utilice un dominio similar, pero no igual.
Por lo general este es un camino fácil, y puede llegar a ser igual de efectivo que utilizar el dominio real de la organización.
Técnicas utilizadas
Existen muchas técnicas que pueden ser utilizadas por un ciberdelincuente para derivar nombres de dominio alternativos que sean similares en su estructura, fonética y sintaxis al original.
Entre ellas, podemos mencionar:
Addition / Omission
La técnica Addition consiste en añadir alguna letra extra al dominio en cuestión.
Por ejemplo para smartfense.com, tenemos:
- smartfensee.com
- smarttfense.com
Una técnica similar es la de Omission, consistente en eliminar una letra del dominio en cuestión.
Por ejemplo para smartfense.com, tenemos:
- smarfense.com
- smartense.com
Bitsquatting
Consiste en un nombre de dominio que difiere en un carácter al nombre original. Frecuentemente esta diferencia puede ser vista como un error aleatorio de tipeo.
Por ejemplo para smartfense.com, tenemos:
- smartf3nse.com
- snartfense.com
Homoglyph
En ortografía y tipografía, un homoglifo es un carácter o una cadena de caracteres con formas que aparentan ser idénticas o no pueden distinguirse mediante una inspección visual rápida.
Un típico caso de esto es la utilización de una letra ‘r’ seguida de una letra ‘n’ para simular una letra ‘m’.
Por ejemplo para smartfense.com, tenemos:
- srnartfense.com
- srrartfense.com
Subdomain
Consiste en dividir el dominio en subdominios, separando el mismo en algún lugar de su cadena de caracteres mediante un punto.
Por ejemplo para smartfense.com, tenemos:
- sma.rtfense.com
- smar.tfense.com
Cómo proceder frente a este riesgo
En SMARTFENSE poseemos una herramienta gratuita llamada DNSTwist que permite:
- Obtener una lista de dominios similares al consultado, utilizando las técnicas mencionadas y otras extra.
- Conocer, por cada dominio, si se encuentra registrado o no, y obtener detalles de los registros DNS involucrados.
¿Qué significa que un dominio similar se encuentre registrado?
Esta situación no siempre significa que el dominio ha sido registrado por un ciberdelincuente. Es posible que se trate de un dominio utilizado de manera legítima.
Sin embargo, es una buena idea revisar este tipo de reportes de manera periódica ya que pueden aparecer dominios registrados con intenciones maliciosas y podemos encontrar en ellos contenido que comprometa nuestra organización.
¿Podemos lograr un control absoluto de los dominios similares al nuestro?
Como menciona el creador de la herramienta DNSTwist, la imaginación de los ciberdelincuentes no tiene límites.
Es imposible que logremos un control absoluto de todas las posibilidades que puede manejar un ciberdelincuente a la hora de buscar un dominio para sus engaños.
Como todo en seguridad, esta es una capa más que aportará a la disminución del riesgo de sufrir una suplantación de identidad de nuestra organización.
Deja un comentario