Tecnologías de seguridad

Dominios parecidos y cómo superarlos

Nuestros colegas ya han profundizado en cómo los ciberdelincuentes atacan a las empresas a través de direcciones de correo electrónico comprometidas de los empleados y en cómo protegerse contra tales ataques con el uso de tecnologías SPF, DKIM y DMARC. Sin embargo, a pesar de las ventajas obvias de estas soluciones, hay una manera de eludirlas que queremos analizar.

Vamos a empezar desde un ángulo diferente: ¿qué tan relevante es el correo electrónico en estos días? Después de todo, este año se vio un fuerte aumento en la popularidad de las herramientas de videoconferencia, precedido por varios años de crecimiento saludable en el uso de mensajería instantánea, en particular, WhatsApp y Telegram. Sin embargo, el correo electrónico sigue siendo el principal medio de comunicación en línea, al menos en el mundo de los negocios. La confirmación indirecta de esto es el aumento en el número y la calidad de los ataques de correos electrónicos corporativos comprometidos. Según datos del Centro de Quejas contra Delitos por Internet (IC3) de Estados Unidos, el daño financiero de tales ataques se ha multiplicado por siete en los últimos cinco años.

Daño financiero por ataques BEC, 2015—2019 (descargar)

Los datos para 2020 aún no se han publicado, pero dada la pandemia de COVID-19 y el desplazamiento masivo de empleados hacia el trabajo a distancia, es seguro suponer que el número de ataques de BEC solo aumentará. Los estudios iniciales del entorno de amenazas también apuntan a esto.

Dominios similares en BEC

En el BEC, el énfasis no recae en el lado técnico (las opciones de los ciberdelincuentes son bastante limitadas cuando se trata de correo electrónico), sino en la ingeniería social. Por lo general, los ataques de este tipo combinan prácticas técnicas y sociales para lograr una mayor eficiencia. Las tres tecnologías de protección arriba mencionadas hacen frente a la mayoría de las combinaciones lo suficientemente bien. Sin embargo, hay una excepción: ataques de dominios parecidos. El método es simple en esencia: los ciberdelincuentes registran un dominio que se ve muy parecido al de la empresa objetivo o al de una empresa asociada. Los mensajes enviados desde este dominio navegan a través de la autenticación del Marco de directivas de remitentes (SPF), poseen una firma criptográfica DomainKeys Identified Mail (DKIM) y, por lo general, no suscitan sospechas de sistemas de seguridad. El problema es que estos correos electrónicos son phishing (suplantación de identidad). Y si se escriben de manera creíble (con una plantilla corporativa, haciendo hincapié en la urgencia del asunto, etc.) probablemente lleguen a engañar a la víctima.

Aquí hay algunos ejemplos de nombres de dominio falsos:

Dominio original Dominio falso
netflix.com netffix.com
kaspersky.com kapersky.com
uralairlines.ru uralairilnes.ru

Como se puede ver, el falso difiere del original por una sola letra agregada (o eliminada), de modo que se requiere una mirada más cercana para detectarlo.

Para obtener una visión general del uso de dominios falsos, compilamos estadísticas sobre simulación parecida para el tercer trimestre de 2020. Tras analizar los datos, llegamos a la conclusión de que la pandemia de este año ha cambiado significativamente la dirección de la actividad cibernética. Antes, el foco de estos ataques era el sector financiero. Ahora, el sector de servicios está en la línea de fuego, lo que incluye varios servicios de comercio electrónico: entrega de alimentos, compras en línea, compra de billetes de avión, etc. Los dominios relacionados con este sector representaron el 34,7 % del número total de ataques en el tercer trimestre.

Distribución de dominios parecidos detectados por categoría, tercer trimestre de 2020 (descargar)

Asimismo, se observa el aumento del sector de TI en 2020: el cual pasa del 17,9 %, en el primer trimestre, al 22,2 %, en el tercer trimestre. Esto es de esperarse, ya que la transición masiva hacia el trabajo a distancia afectará la situación general.

Una palabra sobre los dominios parecidos

A diferencia de los correos no deseados, que tienden a ser grandes tanto en escala como en duración, los ataques que implican dominios parecidos, como cualquier ataque BEC, apuntan a una víctima específica (o a un grupo de víctimas). En consecuencia, los correos electrónicos son pocos y bien pensados, y los dominios son extremadamente cortos. Vemos que la mitad (50 %) de todos los dominios falsos se utilizan solo una vez y, en el 73 % de los casos, el dominio solo está activo por un día. Esto hace que las soluciones antispam tradicionales basadas en firmas (detectar un ataque, crear una regla) sean efectivamente inútiles, por lo que surge la necesidad de una protección proactiva. Hay dos métodos comunes y, al mismo tiempo, simples disponibles para las empresas interesadas en protegerse, al menos en alguna medida, contra ataques parecidos y otros de este tipo.

La primera es que la propia empresa registre dominios con errores tipográficos y que configure redireccionamientos a su dominio oficial. Esto reduce la capacidad de los ciberdelincuentes para registrar una falsificación plausible, pero no la anula por completo ni evita la falsificación de dominios pertenecientes a socios, contratistas y otras organizaciones con las que se ocupa la empresa.

La segunda es compilar listas de nombres falsos plausibles, tanto para el dominio de la empresa como para los socios y contratistas. A continuación, la lista se carga en la solución antispam, que bloquea preventivamente todos los mensajes que llegan de las falsificaciones. El principal inconveniente de este método es el mismo que antes: es imposible cubrir todos los dominios falsos posibles, especialmente si la compañía trabaja con muchas contrapartes. Además, existe el factor humano siempre presente: un error tipográfico en la lista de decenas o cientos de nombres de dominio puede provocar una violación de seguridad o filtrar correos electrónicos de un dominio legítimo en lugar de uno falso, lo que causaría dolores de cabeza adicionales para las unidades de negocio.

Cuando las soluciones simples ya no se adaptaban a nuestros clientes, ellos acudieron a nosotros para algo más complejo. El resultado fue un método que no requiere interacción del usuario. En pocas palabras, compila automáticamente una lista global de dominios legítimos que podrían ser falsificados, sobre cuya base analiza y bloquea mensajes de dominios parecidos. En esencia, es proactivo.

Cómo funciona

La protección contra ataques de dominio de búsqueda es de tres aspectos: procesamiento del lado del cliente, comprobación de reputación de dominio en KSN y procesamiento del lado de la infraestructura. El principio general se muestra esquemáticamente a continuación:

En la práctica, funciona de la siguiente manera. Al recibir un correo electrónico, la tecnología reenvía el dominio del remitente a Kaspersky Security Network (KSN), que coincide con la lista de dominios parecidos que ya conocemos. Si se encuentra el dominio del remitente, el mensaje se bloquea instantáneamente (pasos 1 a 3). Si no hay información al respecto, el correo electrónico se pone en cuarentena durante un breve período fijo (paso 4). Esto da tiempo para que la tecnología verifique el dominio de acuerdo con el algoritmo establecido y, si lo reconoce como falso, lo agregue a la lista de dominios parecidos en KSN. Una vez que el correo electrónico deja de estar en cuarentena, se vuelve a escanear (paso 9) y se bloquea, ya que para entonces se ha actualizado la lista de dominios parecidos.

Echemos un vistazo a cómo funciona la verificación del remitente y cómo se actualiza la lista de dominios parecidos. La información sobre los mensajes en cuarentena se envía a la base de datos de KSN junto con metadatos adicionales, incluido el dominio del remitente (paso 5). En la primera etapa del análisis, el dominio se somete a una verificación de “sospecha” según una amplia gama de criterios, tales como datos Whois, registros DNS, certificados, etc. El propósito de esta etapa es tamizar rápidamente dominios claramente legítimos, pero aún no conocidos por nuestro sistema. De ahora en adelante, los correos electrónicos de estos dominios ya no se ponen en cuarentena, porque KSN ahora tiene información sobre ellos. En la segunda etapa, el sistema compara la similitud de dominios y direcciones sospechosas en nuestra lista global de dominios legítimos (paso 7), que incluye los dominios de nuestros clientes y sus contrapartes. Esta lista se genera automáticamente en función de una evaluación de la frecuencia con la que se envían mensajes legítimos desde el dominio y la uniformidad del flujo de correo entre los usuarios. La medida en que la imagen general coincide con el comportamiento de los empleados en términos de correspondencia comercial determina la reputación del dominio (paso 6). Si el parecido del dominio del estafador con una dirección legítima es alta, el dominio del remitente también se agrega a la lista de dominios similares y todos los mensajes enviados desde él se bloquean.

Nuestro enfoque es más complejo que simplemente registrar dominios parecidos a la empresa, sino que permite el bloqueo en tiempo real de los ataques que utilizan dichos dominios tan pronto como aparezcan. Además, se elimina el factor humano, y la lista global de dominios legítimos se mantiene actualizada gracias a las actualizaciones automáticas.

Dominios parecidos y cómo superarlos

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada