FlagSábado, 22 Septiembre 2018

Información de valor para integradores de Seguridad Electrónica y Ciberseguridad

 

 

easy phishing

 

Easy Solutions alerta sobre el uso de caracteres unicode en ataques de phishing, los cuales permiten engañar con mayor facilidad a sus víctimas.

Los caracteres unicode (también conocidos como IDN Homograph Attack) son utilizados en sitios de phishing, es decir sitios fraudulentos que se hacen pasar por sitios de compañías legítimas, con el fin de robar datos o dinero a los usuarios u organizaciones. La modalidad de este tipo de ataques consiste en sustituir letras de un dominio por caracteres con el objetivo de engañar a las posibles víctimas.

“Aunque esta modalidad no es realmente nueva todavía sigue siendo desconocida para la mayoría de los usuarios y en los dispositivos móviles es particularmente efectiva”, destacó Fernando Cuervo Ibarra, experto de Easy Solutions. Al tiempo que agregó, “este tipo de ataques comenzaron a verse de manera fuerte el año pasado ya que los navegadores más populares, como Chrome y Firefox, eran vulnerables a este modus operandi y mostraban en la barra de dirección aparentemente la URL real. Por ej. en este artículo del 19 de abril de 2017 hacían la prueba de ingresar a la siguiente URL (https://www.xn--80ak6aa92e.com/) y el navegador la mostraba como si fuera la página original de apple.com”.

Actualmente esta brecha fue resuelta por los navegadores mencionados, pero de acuerdo a los expertos de Easy Solutions, eso no quiere decir que esta modalidad ya no sea peligrosa ya que todavía hay versiones de navegadores afectados. “En el caso de chrome todas las versiones anteriores a la versión 59 o definitiva están afectadas y dependiendo la configuración del navegador es posible que muestre en la barra de dirección otra información. Igualmente los navegadores protegen ciertos dominios que ya están en sus listados blancos, aunque se pueden crear dominios parecidos que todavía engañen a los usuarios”, agregó Francisco Cuervo Ibarra.

De acuerdo a Easy Solutions, hay navegadores a los que se le puede modificar la configuración para poder ver la dirección real y evitar confusiones y engaños.

A continuación se detallan 5 recomendaciones de Easy Solutions para que los USUARIOS eviten caer en este tipo de fraudes:

1. Mantener los navegadores que utilizamos en su última versión de actualización.
2. Desconfiar de emails no solicitados, especialmente de aquellos que piden datos o transferencias de fondos.
3. No ingrese a sitios web desde enlaces en redes sociales o emails. Mejor ingrese la dirección URL usted mismo.
4. Siempre verifique que un sitio web, un perfil en redes sociales, un email, una aplicación o demás publicaciones que invitan a entregar datos, sean provenientes de quienes dicen ser.
5. Si tienen Firefox instalado se recomienda modificar la configuración de network.IDN_show_punycode a true.

Y 6 recomendaciones para que las ORGANIZACIONES se protejan contra estos ataques:
1. Tener un servicio anti-phishing para detectar los incidentes lo mas rápido posible. Por regulación en muchos países esto es obligatorio.
2. Monitorear el registro de dominios similares a la marca y tener la capacidad de realizar la detección de estas pequeñas variaciones en caracteres. Si el dominio está codificado en punycode (inicia con "xn--") se debe decodificar.
3. Realizar un monitoreo proactivo de estos dominios encontrados para poder actuar lo mas rápido posible cuando se detecta un nuevo ataque.
4. Dependiendo que tan común sean las palabras que tenemos en nuestro dominio es posible que haya miles de registros diarios que analizar. Por esto es importante hacer un triage muy rápido para priorizar que dominios analizar primero. Los invito a probar Swordphish.
5. Como hacer la revisión de dominios de forma manual es poco práctico se sugiere tener análisis automáticos para determinar si los dominios encontrados se tratan de sitios de phishing.