Protege cuanto quieras tu dominio, utilizaré uno similar para mis trampas

Protege cuanto quieras tu dominio, utilizaré uno similar para mis trampas

Ya hemos visto en este blog cómo proteger un dominio de falsificaciones de manera de disminuir el riesgo de que un ciberdelincuente suplante la identidad de nuestra organización utilizando nuestro mismo dominio en sus correos de Phishing.
Esto, sin embargo, no detendrá a un ciberdelincuente. Lo más común en este caso es que, frente a la protección del dominio original, utilice un dominio similar, pero no igual.
Por lo general este es un camino fácil, y puede llegar a ser igual de efectivo que utilizar el dominio real de la organización.

Técnicas utilizadas

Existen muchas técnicas que pueden ser utilizadas por un ciberdelincuente para derivar nombres de dominio alternativos que sean similares en su estructura, fonética y sintaxis al original.
Entre ellas, podemos mencionar:

Addition / Omission

La técnica Addition consiste en añadir alguna letra extra al dominio en cuestión.
Por ejemplo para smartfense.com, tenemos:
  • smartfensee.com
  • smarttfense.com
Una técnica similar es la de Omission, consistente en eliminar una letra del dominio en cuestión.
Por ejemplo para smartfense.com, tenemos:
  • smarfense.com
  • smartense.com

Bitsquatting

Consiste en un nombre de dominio que difiere en un carácter al nombre original. Frecuentemente esta diferencia puede ser vista como un error aleatorio de tipeo.
Por ejemplo para smartfense.com, tenemos:
  • smartf3nse.com
  • snartfense.com

Homoglyph

En ortografía y tipografía, un homoglifo es un carácter o una cadena de caracteres con formas que aparentan ser idénticas o no pueden distinguirse mediante una inspección visual rápida.
Un típico caso de esto es la utilización de una letra ‘r’ seguida de una letra ‘n’ para simular una letra ‘m’.
Por ejemplo para smartfense.com, tenemos:
  • srnartfense.com
  • srrartfense.com

Subdomain

Consiste en dividir el dominio en subdominios, separando el mismo en algún lugar de su cadena de caracteres mediante un punto.
Por ejemplo para smartfense.com, tenemos:
  • sma.rtfense.com
  • smar.tfense.com

Cómo proceder frente a este riesgo

En SMARTFENSE poseemos una herramienta gratuita llamada DNSTwist que permite:
  • Obtener una lista de dominios similares al consultado, utilizando las técnicas mencionadas y otras extra.
  • Conocer, por cada dominio, si se encuentra registrado o no, y obtener detalles de los registros DNS involucrados.

¿Qué significa que un dominio similar se encuentre registrado?

Esta situación no siempre significa que el dominio ha sido registrado por un ciberdelincuente. Es posible que se trate de un dominio utilizado de manera legítima.
Sin embargo, es una buena idea revisar este tipo de reportes de manera periódica ya que pueden aparecer dominios registrados con intenciones maliciosas y podemos encontrar en ellos contenido que comprometa nuestra organización.

¿Podemos lograr un control absoluto de los dominios similares al nuestro?

Como menciona el creador de la herramienta DNSTwist, la imaginación de los ciberdelincuentes no tiene límites.
Es imposible que logremos un control absoluto de todas las posibilidades que puede manejar un ciberdelincuente a la hora de buscar un dominio para sus engaños.
Como todo en seguridad, esta es una capa más que aportará a la disminución del riesgo de sufrir una suplantación de identidad de nuestra organización.

Nicolás Bruna

Product Manager de SMARTFENSE. Su misión en la empresa es mejorar la plataforma día a día y evangelizar sobre la importancia de la concientización. Ha escrito dos whitepapers y más de 150 artículos sobre gestión del riesgo de la ingeniería social, creación de culturas seguras y cumplimiento de normativas. También es uno de los autores de la Guía de Ransomware de OWASP y el Calculador de costos de Ransomware, entre otros recursos gratuitos.

Deja un comentario