Para evitar visitar sitios web maliciosos sin saberlo, a los usuarios de computadoras se les ha enseñado a verificar las URL de los sitios web antes de hacer clic en un enlace. Pero los atacantes ahora están aprovechando esa práctica para engañar a los usuarios para que visiten dominios de sitios web que contienen marcas comerciales conocidas -pero con palabras adicionales que cambian el destino a un sitio de ataque.
Por ejemplo, los atacantes pueden registrar un nombre de dominio que contenga un nombre de banco familiar. Los usuarios que desconfían ven el nombre del banco familiar en la URL, pero la palabra con guión adicional significa que el destino es muy diferente de lo esperado. El resultado podría ser una mercancía falsificada, credenciales robadas, una infección de malware u otra computadora reclutada en un ataque de botnet.
La estrategia de ataque, conocida como combosquatting, es una amenaza creciente, con millones de dichos dominios configurados con fines maliciosos, según un nuevo estudio programado para presentarse el 31 de octubre en la Conferencia ACM 2017 sobre Seguridad de Computadoras y Comunicaciones CCS.
"Esta es una táctica que los adversarios utilizan cada vez más porque han visto que funciona", dijo Manos Antonakakis, profesor asistente en la Escuela de Ingeniería Eléctrica e Informática del Instituto de Tecnología de Georgia. "Este ataque esse esconde a la vista, pero muchas personas no son lo suficientemente conocedoras de la computadora como para notar la diferencia en las URL que contienen nombres comerciales conocidos ".
Investigadores de Georgia Tech y Stony Brook University llevaron a cabo el estudio, que se cree que es el primer estudio empírico a gran escala de combosquatting. El trabajo fue apoyado por las agencias del Departamento de Defensa de EE. UU., La Fundación Nacional de Ciencias y el Departamento de EE. UU.Comercio.
Combosquatting difiere de su pariente más conocido, typosquatting, en el que los adversarios registran variaciones de URL que los usuarios pueden escribir incorrectamente. Los dominios combinados no dependen de que las víctimas cometan errores de mecanografía, sino que proporcionan enlaces maliciosos incrustados en correos electrónicos, webpublicidad o los resultados de búsquedas en la web. Los atacantes combinados a menudo combinan el nombre de marca registrada con un término diseñado para transmitir un sentido de urgencia para alentar a las víctimas a hacer clic en lo que a primera vista parece ser un enlace legítimo.
"Hemos visto el uso de comboscuatting en prácticamente todos los tipos de ciberataques que conocemos, desde descargas automáticas hasta ataques de phishing por parte de estados-nación", dijo Panagiotis Kintis, asistente de investigación graduada de Georgia Tech que es el primer autor delestudio ". Estos ataques pueden incluso engañar a las personas de seguridad que pueden estar mirando el tráfico de la red en busca de actividad maliciosa. Cuando ven una marca comercial conocida, pueden sentir una falsa sensación de comodidad con ella".
Para su estudio, los investigadores comenzaron con los 500 nombres de dominio de marca registrada más populares en los Estados Unidos, y excluyeron ciertas combinaciones formadas por palabras comunes. Separaron los dominios en 20 categorías, luego agregaron dos dominios adicionales: uno para política- el estudio se realizó antes de las elecciones de 2016 y otro para la energía.
Con las 268 URL que contienen marcas registradas resultantes, se propusieron encontrar nombres de dominio que incorporaran el nombre de la marca registrada con palabras adicionales agregadas al inicio o al final. Buscaron durante seis años de solicitudes de sistema de nombres de dominio DNS activo y pasivo:- más de 468 mil millones de registros - proporcionados por uno de los mayores proveedores de servicios de Internet en América del Norte.
"El resultado fue alucinante", dijo Kintis. "Encontramos órdenes de magnitud más dominios comboscuatting que dominios typosquatting, por ejemplo. El espacio para combosquatting es casi infinito porque los atacantes pueden registrar tantos dominios como quieran con cualquier variaciónque quieren. En algunos casos, registrar un dominio puede costar menos de un dólar ".
En el conjunto de datos de seis años, los investigadores encontraron 2.7 millones de dominios de comboscuatting solo para las 268 marcas comerciales populares, y los dominios de combosquatting fueron 100 veces más frecuentes que los dominios de typosquatting. Los ataques de combosquatting parecen ser difíciles de combatir, con casi 60por ciento de los dominios abusivos en funcionamiento durante más de 1,000 días, casi tres años. Y el número de dominios de comboscuatting registrados creció cada año entre 2011 y 2016.
Entre los dominios maliciosos, los investigadores descubrieron algunos que previamente habían sido registrados por compañías legítimas que habían combinado palabras con sus marcas registradas. Por alguna razón, esas compañías permitieron que los registros caduquen, permitiendo que los nombres de dominio que contienen marcas registradas, que una vezcondujo a sitios legítimos, para ser asumidos por atacantes combosquatting.
En muchos casos, los dominios maliciosos se volvieron a registrar varias veces después de que habían expirado, lo que sugiere que puede ser necesaria una mejora en la "higiene de Internet" para abordar esta amenaza.
"Imagine lo que sucede en una ciudad cuando la basura no se recoge regularmente", dijo Antonakakis. "La basura se acumula y se desarrollan enfermedades. Nadie recolecta los dominios de basura en Internet, porque no es el trabajo de nadie. Pero allídebe ser una organización que recopile estos dominios maliciosos para que no puedan reutilizarse para infectar a las personas ".
También sería útil una detección antifraude más estricta de las personas que registran dominios, agregó. "No queremos evitar que los usuarios legítimos accedan a Internet, pero hay señales de advertencia de fraude potencial que los registradores podrían detectar".
¿Qué pueden hacer los usuarios comunes de computadoras y las organizaciones donde trabajan?
"Los usuarios desafortunadamente tienen que estar mejor educados que ahora", dijo Antonakakis. "Las organizaciones pueden proporcionar capacitación en el proceso de incorporación que se lleva a cabo para los nuevos empleados, y pueden proteger sus perímetros de red para evitar que los usuarios se expongana dominios de comboscuatting conocidos. Se necesita hacer más para abordar este creciente problema de ciberseguridad ".
Además de los ya mencionados, la investigación incluyó a Najmeh Miramirkhani y Nick Nikiforakis de la Universidad Stony Brook; Charles Lever, Yizheng Chen y Roza Romero-Gómez de Georgia Tech, y Nikolaos Pitropakis de la London South Bank University.
Fuente de la historia :
Materiales proporcionado por Instituto de Tecnología de Georgia . Original escrito por John Toon. Nota: El contenido puede ser editado por estilo y longitud.
Referencia del diario :
Cita esta página :