Una campaña de phishing con homoglifos altamente sofisticada está atacando a clientes de Marriott International y Microsoft. Los ciberdelincuentes están registrando dominios que reemplazan la letra “m” por la combinación “rn” (r + n), creando sitios web falsos que parecen casi idénticos a los reales. Esta técnica, conocida como typosquatting o ataque de homoglifo, aprovecha la forma en que las fuentes modernas muestran el texto.
Una sofisticada campaña de phishing con homoglifos está atacando a clientes de Marriott International y Microsoft. Los atacantes están registrando dominios que reemplazan la letra “m” por la combinación “rn” (r + n), creando sitios web falsos que parecen casi idénticos a los reales.
Esta técnica, conocida como typosquatting o ataque de homoglifo, explota la forma en que las fuentes modernas muestran el texto. En muchas fuentes, las letras “r” y “n” colocadas una al lado de la otra (rn) se ven visualmente indistinguibles de la letra “m” (m).
Los hackers confían en este truco visual para burlar la capacidad de tu cerebro de detectar errores. Cuando echas un vistazo rápido a un URL como rnarriottinternational.com, tu cerebro a menudo “autocorrige” lo que ve, asumiendo que dice “Marriott”.
Campañas recientes identificadas
Marriott International como objetivo
La firma de seguridad Netcraft identificó recientemente un grupo de dominios maliciosos que intentan suplantar al gigante hotelero. Es probable que estos dominios se utilicen para robar credenciales de cuentas de fidelidad o datos personales de los huéspedes.
- El dominio principal identificado es
rnarriottinternational.com. - Los atacantes también han registrado variaciones como
rnarriotthotels.compara atacar marcas específicas de hoteles.
Usuarios de Microsoft bajo ataque
Harley Sugarman, CEO de la firma de seguridad Anagram, destacó una campaña similar dirigida a usuarios de Microsoft. Los correos de phishing en esta campaña usan el dominio rnicrosoft.com para enviar alertas de seguridad falsas o notificaciones de facturas.
- Estos correos imitan el logo, tono y diseño oficial de Microsoft.
- El ataque es especialmente peligroso en dispositivos móviles, donde las pantallas pequeñas hacen que la diferencia entre “rn” y “m” sea casi imposible de ver.
Indicadores de compromiso (IOCs)
Los siguientes dominios han sido marcados como maliciosos. Los equipos de seguridad deberían bloquearlos de inmediato, y los usuarios deben desconfiar de cualquier enlace que dirija a ellos.
| Dominio de phishing | Servicio suplantado | Técnica de typosquatting | Dificultad de detección |
|---|---|---|---|
rnarriottinternational.com | Marriott International | ‘m’ reemplazada por ‘rn’ | Crítica |
rnarriotthotels.com | Marriott Hotels | ‘m’ reemplazada por ‘rn’ | Crítica |
rnicrosoft.com | Microsoft 365 / Inicio de sesión | ‘m’ reemplazada por ‘rn’ | Alta (Móvil) |
micros0ft.com | Microsoft | ‘o’ reemplazada por ‘0’ | Media |
microsoft-support.com | Soporte de Microsoft | Guiones / Sufijo | Baja |
Cómo mantenerte seguro
- Amplía la dirección del remitente: En aplicaciones de correo móvil, toca el nombre del remitente para revelar la dirección de correo completa. Observa detenidamente el truco de “rn”.
- Pasa el cursor antes de hacer clic: En un ordenador, coloca el cursor del ratón sobre los enlaces sin hacer clic para ver la URL de destino real.
- Escribe manualmente: Si recibes un correo urgente sobre una reserva de hotel o restablecimiento de cuenta, no hagas clic en el enlace. Abre un navegador y escribe
marriott.comomicrosoft.comtú mismo. - Usa gestores de contraseñas: Un gestor de contraseñas no completará automáticamente tus credenciales en un sitio falso como
rnicrosoft.com, porque reconoce que el dominio es diferente al real.
Fuentes:
https://cybersecuritynews.com/rn-typo-phishing-attack/
No hay comentarios:
Publicar un comentario