El mundo de antivirus

viernes 12 de mayo de 2023

En nuestros artículos de «El Mundo de Antivirus», muchas veces informamos sobre el fraude en línea y explicamos los trucos que utilizan los ciberdelincuentes para estafar a los usuarios. El phishing es uno de los tipos más comunes de estafas en línea basado en las técnicas de ingeniería social. Por ejemplo, en esta edición informamos sobre otra estafa de un marketplace falso y revelamos cómo los estafadores engañaron al usuario paso a paso.

¿Por qué los ciberdelincuentes utilizan a menudo el phishing para enriquecerse? Esto se debe a la ventajosa relación entre sus esfuerzos y los beneficios que reciben. Normalmente, no se utilizan soluciones técnicas avanzadas y las víctimas mismas entregan su dinero y/o información a los propios phishers. Se usan diferentes trucos, a menudo poco sofisticados, que funcionan gracias a la inocencia e ignorancia de los usuarios. Además, el desarrollo del entorno digital y la aparición de nuevos canales de comunicación proporcionan a los estafadores en línea varias herramientas y oportunidades adicionales.

La parte integral del phishing clásico es un sitio web falso. Se trata de un sitio web creado y administrado totalmente bajo el control de los atacantes, bien directamente dedicado a robar datos y dinero, bien sirviendo de intermediario en esquemas de phishing más complejos. En este número de “El Mundo de Antivirus” le informamos de cómo identificar un sitio phishing y evitar caer en la trampa de los phishers.

¿Cómo Vd. entró en el sitio web?

Los phishers utilizan activamente varios canales de comunicación para que alguien "pique el anzuelo" por primera vez. Listas de correo, SMS, messengers, redes sociales, banners publicitarios e incluso la promoción de pago de los sitios web en motores de búsqueda están a disposición de los estafadores para propagar enlaces en sus recursos de phishing. Pongamos un ejemplo sencillo: alguien que no conoce le envía un SMS con una oferta atractivo de ganar dinero extra y un enlace a un sitio web. Por muy tentador que sea el contenido del mensaje, hay un 99,99% de posibilidades de que ese enlace le lleve a un sitio phishing. Todos los datos que introduzca allí, ya sea la información personal o los números de tarjeta, acabarán usados por los ciberdelincuentes. Por eso es importante ser capaz de detectar una estafa phishing lo antes posible y hay que aplicar una regla sencilla: todos los enlaces entrantes deben ser considerados sospechosos en caso de ser recibidos de la dirección desconocida.

La mayoría de las veces, los estafadores atraen a las víctimas potenciales ofreciéndoles ofertas de trabajo atractivas, anunciando plataformas comerciales de bajo coste, promesas de beneficios sociales o de otro tipo supuestamente destinados para el usuario, así como otros trucos similares. En el pasado, eran populares los simples banners emergentes que anunciaban ganancias en efectivo. Sin embargo, incluso estos trucos aparentemente obsoletos siguen ser usados en la Web y parece mentira, pero siguen dando resultados.

Por otra parte, cabe destacar que los navegadores modernos pueden evitar los ataques phishing en algunos casos, pero esta protección no siempre funciona. Por regla general, el navegador impide visitar un sitio web sin certificado digital para establecer conexión segura, o si el certificado no es válido. Pero hay que tener en cuenta que los ciberdelincuentes pueden esquivar fácilmente estas medidas de seguridad y, en la mayoría de los casos, instalan en sus sitios web los certificados de seguridad gratuitos pero válidos. Por lo tanto, la mejor protección es el pensamiento crítico y el análisis autónomo de qué nos lleva a un sitio web desconocido.

Por supuesto, no sólo algunos destinatarios desconocidos pueden enviarle un enlace a un sitio web phishing, sino también las personas conocidas. Por lo tanto, vamos a prestar atención a otras peculiaridades.

Evaluamos el aspecto y la funcionalidad del sitio web

Los sitios web phishing pueden ser divididos en dos grandes categorías: los sitios web phishing que imitan los recursos de empresas conocidas y copian su diseño y los sitios web phishing que no copian el sitio original y tienen su propio diseño y funcionalidad, pero en cualquier caso imitan los servicios legales. La primera categoría podría incluir, por ejemplo, una página falsa de inicio de sesión en el portal de la administración pública, y la segunda podría incluir un sitio web phishing para algún nuevo sistema de pago, que en realidad no existe. También son comunes los híbridos, en los que un sitio web phishing incluye logos y elementos de diseño corporativo de una empresa conocida, pero en general las páginas web no copian totalmente el aspecto del verdadero sitio web. Se puede tratar, por ejemplo, de un supuesto sitio web de terceros de una empresa conocida, en el que se realizan sorteos entre los visitantes. De hecho, en todos los casos, los sitios mencionados son los sitios web phishing, totalmente controlados por los delincuentes y no tienen nada que ver con las empresas cuyos logos pueden ser usados en los mismos. Es importante recordar que el principal objetivo de los phishers es ganar la confianza del usuario. Por eso, la mayoría de los recursos phishing están camuflados por las páginas de los sitios web y servicios conocidos.

La peculiaridad común de todos los sitios web phishing es que, si los consultamos con más atención, parecen una chapuza. Las faltas de ortografía, el diseño deficiente, los botones que no funcionan y otros elementos son habituales en los sitios web phishing. Los phishers necesitan llamar la atención, y lo consiguen con sus ofertas atractivas, titulares llamativos, logos famosos, reseñas falsas y otros trucos. Por lo tanto, la calidad de diseño no es lo más principal: hay que poner en marcha un sitio web fraudulento lo antes posible. Y en nuestro caso, debemos prestarle mucha atención. Un sitio web phishing normalmente usará sólo la funcionalidad necesaria para el funcionamiento del esquema fraudulento. Así mismo, si dejamos de pensar en el escenario de los atacantes y simplemente empezamos a analizar el sitio web, es probable que descubramos varios errores bastante rápido. Y cuanto más complejo sea el sitio, más errores contendrá.

Prestamos atención al nombre de dominio del sitio web

El nombre de dominio del sitio web que aparece en la barra de direcciones del navegador puede revelar muchas cosas. Como es técnicamente imposible registrar un sitio web con un nombre idéntico al real, los atacantes intentan encontrar un nombre de dominio que parezca mucho al real a la hora de crear un sitio web phishing. Por ejemplo, el nombre de dominio de un sitio web phishing que imite a Doctor Web podría ser: drveb.ru o doctorweb.ru. Un truco popular: sustituir ciertas letras o números por otros visualmente similares o añadir los números aleatorios al nombre del sitio web. En un artículo sobre un marketplace falso, describimos cómo los estafadores eligieron el dominio sheim668 para una tienda online falsa de marca conocida Shein. Es un intento de camuflar muy torpe, pero las víctimas de los estafadores no le prestaron atención y acabaron atrapados. En cualquier caso, si uno tiene la duda más mínima sobre la seguridad de un sitio web en concreto, debería comprobar su nombre de dominio con detalle.

En este caso, los atacantes sólo pueden falsificar el así llamado dominio de segundo nivel, es decir, el nombre de dominio principal del sitio web. En el sistema de nombres de dominio se puede encontrar sitios web con varias palabras separadas por un punto. Por ejemplo, un sitio web ficticio shop.drweb.ru, donde "drweb" – es el dominio de segundo nivel y "shop" – es el dominio de tercer nivel, no puede ser registrado por terceros. Pero shop.drveb.ru - ya será una falsificación.

Analizamos el certificado digital del sitio web

Ya hemos informado sobre los certificados digitales en esta edición de El Mundo de Antivirus. Como ya hemos comentado, los atacantes usan activamente los certificados digitales gratuitos para esquivar la protección y la autenticación de los navegadores. Por lo tanto, es obvio que la conexión al sitio web phishing se realice a través del protocolo seguro HTTPS. Pero es importante destacar una peculiaridad.

La autoridad de certificación más común que emite los certificados digitales gratuitos es Let's Encrypt. Con su ayuda, los creadores honestos de los sitios web personales pueden obtener e instalar un certificado, lo cual aumenta la confianza en el recurso para los visitantes, navegadores y motores de búsqueda, y permite el intercambio de información a través de un canal seguro. Pero todas estas ventajas también pueden ser abusadas por los atacantes sin ningún problema. Los certificados emitidos por Let's Encrypt se instalan en muchos sitios web phishing. Al mismo tiempo, casi nunca se instalan en sitios oficiales de grandes empresas comerciales, por los cuales se camuflan las obras de los phishers. Por lo tanto, si un sitio web de una tienda online importante o de un banco tiene certificado instalado por el centro Let's Encrypt, es una razón importante para considerarlo como un sitio web phishing. La buena noticia es que no es difícil comprobar la información del certificado de forma autónoma.

En el navegador Chrome, por ejemplo, todo esto se hace de forma siguiente. En la barra de direcciones, haga clic en el icono de candado situado a la izquierda del nombre del sitio web. En la ventana que aparece, seleccione Conexión segura y, a continuación, Certificado válido. Se abre una nueva ventana con información sobre el certificado. Nos interesa la sección Emitido por. En caso de ver R3 en la línea Nombre común (CN) y Let's Encrypt en la línea Organización (O), significa que este sitio utiliza un certificado digital de Let's Encrypt.

El certificado Let's Encrypt no tiene nada de malo o malicioso. La idea básica es que las empresas comerciales usan actualmente los certificados digitales de pago. Por ejemplo, el sitio web Doctor Web utiliza el certificado de GlobalSign. Por supuesto, en la mayoría de los casos los atacantes no obtendrán un certificado de pago para un sitio web phishing, que rar vez existe más de pocas semanas.

Buscamos la información sobre la empresa

Para detectar si un sitio web es un sitio web phishing, a veces resulta útil fijarse en su contenido, además de su diseño. La sección de contactos puede revelar muchas cosas. Muchas veces los sitios web phishing no contienen ninguna sección de comentarios ni información sobre la empresa. Esto también nos hace pensar sobre la legitimidad del sitio web. Los delincuentes pueden falsificar cualquier dato, incluso indicar los datos robados, tales como el nombre de la empresa, el número de identificación fiscal, el número de teléfono y la dirección legal. En caso de dudas, debe comprobar estos datos de forma autónoma en Internet. Si el recurso es de phishing, es muy probable que en los contactos especificados se encuentra la información sobre la empresa que no tiene nada que ver con lo escrito por los estafadores. Si la búsqueda no da ningún resultado, significa que el sitio contiene datos deliberadamente incorrectos, lo cual también indica falsificación.

Otra cosa es si un sitio web phishing es una copia completa del original. En ese caso, es probable que también se hayan copiado los contactos y otros datos. Otras características que hemos mencionado anteriormente también pueden ayudarnos en este caso.

Utilizar servicios especiales

No estará de más utilizar los servicios especiales que ayudan a identificar los recursos fraudulentos. Vamos a conocerlos.

Whois

Whois es un servicio basado en un protocolo que le permite a cualquiera obtener la información de registro disponible de forma pública para nombres de dominio y direcciones IP. Whois no es un servicio independiente de detección de sitios web phishing, pero proporciona algunos datos que pueden ser usados para identificar los sitios web fraudulente. Basta con copiar el nombre del sitio web que se desea comprobar y pegarlo en el formulario web de Whois. Como resultado, se visualizará un bloque de datos, siendo las líneas más representativas las de Propietario y Creado.

Vamos a ver un ejemplo sencillo.

Supongamos que al comprobar el sitio de una empresa supuestamente importante con el servicio Whois, vemos que el titular del dominio es un particular лицо (Private Person), y que el sitio web fue creado hace un par de semanas. Por lo tanto, podemos sacar conclusiones de que el sitio web no tiene nada que ver con la empresa real y que probablemente se trate de un sitio web phishing. Lo que pasa es que los sitios web de grandes empresas casi nunca se registran a nombre de particulares y el registro reciente del dominio junto con las demás características nos indica de forma indirecta que este sitio web es una falsificación.

Sin embargo, tenga en cuenta que un sitio de phishing puede ser registrado a nombre de una empresa fantasma y no de un particular. En este caso, se puede prestar atención a la fecha de creación del dominio, pero es mejor y más seguro comprobar el sitio web con servicios especiales.

Escanear un enlace con un servicio en línea

Los enlaces sospechosos pueden ser escaneados de forma fácil con los servicios especiales en línea. Por ejemplo, el sitio web de Doctor Web dispone de un servicio que permite escanear un enlace usando la base de datos interna de la empresa, actualizada a diario por los analistas de virus e Internet.

Existen otros servicios similares, tales como VirusTotal y Phishtank. Funcionan de forma similar: se introduce la URL del sitio web por escanear en un formulario especial y, a continuación, se realiza la búsqueda en la base de datos phishing.

Aunque estos servicios son muy prácticos, es importante tener en cuenta que los resultados de este análisis pueden ser tanto falsos positivos como falsos negativos. Por ejemplo, un sitio web phishing puede no formar parte de la base de datos y, por tanto, ser considerado como no malicioso. O, al revés un sitio web legal puede ser incluido por error en la base de datos. Por lo tanto, es importante tener en cuenta todos los factores para evitar las trampas de los estafadores.