Tienda Wifi

Tienda Wifi
CiudadWireless es la tienda Wifi recomendada por elhacker.NET

Entradas Mensuales

Síguenos en:

Canal Oficial Telegram de elhacker.NET Grupo Facebook elhacker.NET Twitter elhacker.NET Canal Youtube elhacker.NET Comunidad Steam: Grupo elhacker.NET Mastodon

Entradas populares

PostHeaderIcon Herramientas para detectar typosquatting


Los ciberataques cada vez son más sofisticados y peligrosos, pero mayoritariamente suelen comenzar con el uso de ingeniería social para penetrar en los sistemas informáticos debido a que el ser humano es el eslabón más débil en la cadena de la ciberseguridad. Es por eso por lo que los ataques de typosquatting pueden ser tan efectivos. Según el informe de investigaciones de filtraciones de datos de Verizon, en 2022, en el 83% de los ciberataques el factor humano estuvo involucrado.




Typosquatting: definición



El “typosquatting” es una clase de ataque de ingeniería social. Se aprovecha de quienes optan por escribir a mano las direcciones web que quieren visitar (en lugar de usar un buscador, por ejemplo) y, al hacerlo, cometen un error de escritura. El ataque, por lo general, consiste en hacer que el usuario visite un sitio malicioso con una dirección muy similar, pero no exactamente igual, a la del sitio verdadero. La persona ingresa el sitio y, en ocasiones, carga información confidencial sin percatarse del engaño. El riesgo no es solo para el visitante, ya que estas copias falsas pueden costarle la reputación al dueño del sitio verdadero.

El ataque recibe este nombre porque “typo”, en inglés, es una palabra que se refiere a los pequeños errores que de tanto en tanto cometemos al escribir con el teclado. El typosquatting se basa en este fenómeno.

El typosquatting es un tipo de ataque reconocido en las técnicas utilizadas por los ciberatacantes en MITRE ATT&CK. Es utilizada en ataques de phishing, fraudes y suplantaciones de marca. Si tienes una empresa, un blog o una web, si resultas de interés para los ciber atacantes, es posible que utilicen esta técnica para suplantar tu identidad. En este artículo, te presentamos cinco herramientas para detectar el typosquatting.


Ataque a la tipografía vs. Ataque a los homógrafos IDN: ¿Cuál es la diferencia?

Un ataque de homógrafos IDN es un tipo de ataque que tiene como objetivo los caracteres no ASCII. Se diferencia del typosquatting en que utiliza homógrafos en lugar de erratas, lo que hace que sea más difícil de detectar, pero tiene el mismo efecto: secuestrar el dominio.

El atacante utiliza un nombre de dominio existente que es compatible con el homógrafo (o con el IPA) para crear un nuevo nombre de dominio con la misma pronunciación y ortografía, pero con un Unicode diferente.

Por ejemplo, un geek tecnológico llamado Xudong Zheng es el responsable de crear una versión falsa del sitio web de Apple en la URL https://www.xn--80ak6aa92e.com/ que imita a apple.com

La versión real de su dominio https://www.xn--80ak6aa92e.com/ (que no es la URL real del sitio web de Apple) aparece exactamente igual que apple.com cuando se carga la URL en un navegador antiguo.

Las versiones más recientes de Chrome han desarrollado un mecanismo de seguridad que detecta los dominios homográficos, pero si cargas la URL anterior desde un navegador antiguo, la URL se mostrará sorprendentemente como apple.com

Utiliza el servicio de monitoreo de ICANN

ICANN es la Corporación de Internet para la Asignación de Nombres y Números. Si tienes un sitio web, puedes usar un servicio de ICANN llamado Trademark Clearinghouse para saber si existen otros dominios que utilicen tu nombre. El servicio está disponible para marcas registradas tanto en su país de origen como en el extranjero.

Presentar una reclamación en la OMPI

La Organización Mundial de la Propiedad Intelectual (OMPI) cuenta con una Política Uniforme de Solución de Controversias en materia de Nombres de Dominio (UDRP). Esta política permite a los verdaderos titulares de las marcas presentar denuncias contra los usuarios que utilizan sus marcas de mala fe. Esto incluye a las personas que registran un nombre de dominio y lo utilizan para promocionar su negocio sin el permiso del titular de la marca.

¿Cómo nos podemos proteger del typosquatting?



A continuación, te presentamos algunas medidas que puedes tomar para protegerte contra el typosquatting:

  1. Registra tus nombres de dominio con los TLD principales más conocidos si están disponibles, además de los de los países en los que se ubique la actividad: .com, .org, .net, .io, .me, .es, .de
  2. Para los trabajadores, la formación en ciberseguridad es esencial para evitar casos de typosquatting, phishing y fraudes. Una persona entrenada podrá detectar patrones y anomalías en los dominios, correos electrónicos y páginas web fraudulentas que pueden pasar desapercibidos por sistemas anti-phishing automáticos.
  3. Realiza un seguimiento de los registros de dominios, por ejemplo, con cualquiera las herramientas que presentamos a continuación.

Herramientas para detectar typosquatting

OpenSquat

OpenSquat es una de las herramientas más completas de OSINT si queremos para la identificación de amenazas de typosquatting. Añade registros nuevos diariamente y tiene integración con VirusTotal y Quad9 DNS. Funciona con una versión de Python ≥ 3.6 y pip3, y además tiene las siguientes características:

  • Detección de ataques homográficos IDN (dominios que potencialmente no contengan caracteres ASCII).
  • Permite guardar el resultados en formato TXT, CSV o JSON, para facilitar la integración de los datos recogidos.
  • Uso de diferentes niveles de umbral de confianza para el afinado de la búsqueda.

A partir del proyecto principal, han salido otros forks:

DNStwist

DNStwist está disponible en su versión en terminal, y también en versión web en https://dnstwist.it. Desde la versión de comandos podemos escoger el número de hilos que utilice para trabajar, además de otras opciones como las siguientes:

  • Es compatible con diccionarios adicionales.
  • Permite especificar servidores DNS para realizar las consultas.
  • Si tienes instalado Chromium, DNSTwist puede utilizarlo para renderizar páginas web, realizar una captura de pantalla de las coincidencias y evaluar la similitud entre las webs detectadas.
  • Es exportar los datos a CSV y JSON, para facilitar la integración de los datos.

DNSMorph

DNSmorph es una herramienta escrita en Go, haciéndola compacta, portable y rápida. Sus funciones también le permiten hacer las siguientes tareas:

  • Comprobar distintos dominios en la misma ejecución.
  • Geolocalizar los dominios registrados.
  • Resolver los dominios y consultarlos en whois.
  • Exportar los resultados a JSON, para facilitar la integración de la información recogida.

Urlcrazy

Urlcrazy viene preinstalada en Kali Linux, una de las distribuciones más famosas destinadas a la ciberseguridad, en el apartado “Information Gathering” del menú de aplicaciones. La aplicación realiza una gran variedad de permutaciones, desde reemplazo de caracteres, bit flipping y cambios de TLD. Al hacer la búsqueda, nos devuelve una gran cantidad de variaciones del dominio a consultar. Si alguno de los dominios mostrados está registrado, muestra información sobre la dirección IP, el nombre del servidor y del correo.

Además, tiene otras características como:

  • Comprobar la popularidad en Google del dominio que se quiere comprobar.
  • Filtrar por dominios no válidos.
  • Exportar los resultados en formato CSV o JSON, para facilitar la integración de los datos recogidos.
  • Acepta múltiples distribuciones de teclado (qwerty, azerty, qwertz, dvorak)

DNSlytics

Si buscas una versión web, la herramienta de Dnslytics busca dominios registrados con un carácter de diferencia respecto al dominio proporcionado, sea el cambio dentro de uno de los caracteres del dominio (por ejemplo, tw1tter.com), o una adición (1twitter.com). En sus opciones avanzadas nos permite configurar la búsqueda mediante 2 parámetros:

  • Fecha de registro: Si quieres comprobar sólo dominios nuevos, permite escoger los últimos 30 o 7 días
  • Filtrar por tipo de TLD: Permite escoger entre ccTLD, gTLD, nTLD, IDN.

Si quieres profundizar sobre las técnicas utilizadas por los ciberdelincuentes, puedes consultar el artículo de técnicas de ingeniería social donde se detallan más tipos de ataques de ingeniería social.


Fuentes:
https://derechodelared.com/typosquatting-herramienta-para-detectar/

https://latam.kaspersky.com/resource-center/definitions/what-is-typosquatting

https://powerdmarc.com/es/what-is-typosquatting/


0 comentarios :

Publicar un comentario

Los comentarios pueden ser revisados en cualquier momento por los moderadores.

Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.

Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.