Typosquatting: equipos infectados por malware a través de los errores tipográficos

Los cibercriminales pueden atacar algunas páginas web y luego utilizarlas para difundir sus malware. Existen diferentes maneras para llevar a usuarios a páginas maliciosas, una de éstas se llama “typosquatting”.

Typosquatters

Los cibercriminales pueden atacar algunas páginas web y luego utilizarlas para difundir sus malware. Existen diferentes maneras para llevar a usuarios a páginas maliciosas, una de éstas se llama “typosquatting”.

A todo el mundo nos puede pasar: mientras tecleamos la dirección de una página web en el buscador, algún error se nos escapa. Los cibercriminales a menudo aprovechan esta distracción para llevarnos a su página web maliciosa en lugar de a la que queremos visitar. Este fenómeno se llama “typosquatting”, palabra compuesta por “typo” (tipografía) y “squat” (ocupar), que se conoce también bajo el nombre “URL hijacking”, o sea secuestro de URL. Los cibercriminales registran nombres de dominio que se parecen a otros dominios muy populares, a la espera de que los usuarios tecleen por error el nombre de sus páginas web. Se trata de un problema serio para las empresas, y algunas de ellas llegaron a demandar a los typosquatters, o sea a los cibercriminales que utilizan esta técnica para ganar dinero.

El typosquatting constituye también una amenaza para los consumidores que, sin darse cuenta, entran en páginas de spam o, en el peor de los casos, infectan sus propios equipos con un malware sin darse cuenta. ¿Queréis un caso en concreto? Aquí va.

El typosquatting constituye también una amenaza para los consumidores que, sin darse cuenta, entran en páginas de spam o, en el peor de los casos, infectan sus propios equipos con un malware sin darse cuenta.

Ejemplo real de typosquatting: dirección de Gmail

Primero, veamos cómo se hace en Kaspersky Lab para reducir las infecciones por malware. Cuando encontramos una página web infectada, intentamos contactar con el administrador de la página para avisarle del problema. En la imagen de abajo os mostramos toda la información (WHOIS) sobre una página web que, sin querer, alberga un malware. En el campo de contactos (Administrative Contact), encontramos la cadena de caracteres “A***3JP”. Se trata de un JPNIC Handle (gestionado por el Japan Registry Service- JPRS), una secuencia alfanumérica muy útil para encontrar los administradores de las páginas web (en algunos casos, en esta sección se puede introducir una dirección mail).

squat-01

Pues, veamos quién son los administradores del dominio “A***3JP”:

squat-02

En el campo “E-Mail” se encuentra la dirección de correo electrónico de la persona que se debería informar en el caso de que algún cibercriminal infecte con un malware la página web. Avisar a los administradores que no se han dado cuenta del problema es una de las medidas de seguridad más importantes para evitar que el malware se difunda ulteriormente.

Mirando con  más atención, notamos que hay un error en la dirección mail: parece una normal dirección de Gmail (del tipo xxxx@gmail.com), pero en realidad falta una letra.

En algunos países por ley hay que insertar correctamente toda la información sobre el dominio. En Japón puede pasar que se registre el dominio aunque haya algún error y, lo que es peor, algunos administradores insertan aposta datos incorrectos. Si la dirección mail está escrita mal, no podemos avisar al administrador, que se convierte en víctima de los ciberciminales y, al mismo tiempo, difunde el malware a sus usuarios (aunque no intencionalmente).

En este caso, hay una razón de fondo muy clara para este error: se  trata de una trampa de typosquatting, para que los usuarios descarguen un instalador falso y malicioso.

Resulta que la página web con la dirección mail parecida a una de Gmail está disponible en diferentes idiomas según la zona de procedimiento del visitador: japonés, alemán, español, italiano, holandés, polaco, portugués, ruso, sueco y turco. No sabemos por qué, pero no hay en inglés. Echad un vistazo a los siguientes pantallazos; aunque sean en ruso y japonés, es fácil darse cuenta de cómo las versiones maliciosas se parecen a una página web legítima muy conocida. Es comprensible, entonces, que los usuarios descarguen e instalen objetos maliciosos sin sospechar nada.

Pantallazo en japonés:

Japón

Y en ruso:

Ruso

En el artículo de hoy os hemos explicado la importancia de registrar correctamente la información del dominio y, con un ejemplo concreto, cómo funciona el typosquatting. Esta técnica de fraude informático no es nada nueva, se conoce desde hace años y, no obstante, el número de sus víctimas sigue creciendo. Es bastante común cometer errores tipográficos y los cibercriminales solo se quedan a la espera de que los usuarios caigan en la trampa: una actitud bastante pasiva pero eficaz. Para no ser víctimas del typosquatting, os aconsejamos actualizar regularmente el sistema operativo de vuestro equipo y sobre todo mantener siempre al día vuestra solución antivirus.

Consejos