Este tipo de ataque efectivo, comúnmente conocido como URL hijacking o fake URL, en realidad es el resultado de simples errores ortográficos cometidos por nosotros los usuarios. Por ejemplo, si escribes “esgeks.com” en lugar de escribir “esgeeks.com” en la barra del navegador, iniciarás sesión en un sitio diferente.
Las personas maliciosas que ya conocen este problema y quieren beneficiarse de la debilidad de las personas, roban la información de las personas con el método llamado “phishing“.
1. ¿Qué es Typosquatting?
Typosquatting es un tipo de cybersquatting utilizada por impostores que implica el registro de dominios con nombres mal escritos intencionalmente de direcciones web populares para instalar malware en el sistema del usuario. El tipo extremo de typosquatting es similar al phishing donde el sitio web incorrecto imita al sitio real, confundiendo así al usuario con un falso conocimiento de que él/ella ha visitado el sitio web correcto.
En pocas palabras, typosquatting es secuestro de URL.
2. ¿Cómo Funciona el Typosquatting?
Comprendamos esto con un ejemplo.
Digamos que los typosquatters querían apuntar al banco canadiense Scotiabank. Pueden registrar “escotiabank.com” o “scottiabank.com” (ver aquí), una letra adicional o una incorrecta del nombre de dominio original del banco, y configurar un sitio web falso. La persona que crea este sitio web crea una página que se parece mucho a la página real del sitio web de The Bank of Nova Scotia. Un usuario que visita puede no darse cuenta de esto y alimentar sus credenciales de inicio de sesión, intentar transferir dinero o realizar otras actividades relacionadas con el banco.
Veamos, otro ejemplo. En este caso lo analizaré con la web dnstwister para el sitio web de Facebook.
Puedes eligir uno de los dominios de esta lista y hace clic en analyse para examinarlo en detalle.
Examiné el dominio ffacebook.com y no tuve suerte. Tal vez tú la tengas. En este ejemplo, ffacebook.com está siendo re-dirigido a sitio oficial de facebook.com. A continuación, veamos otras formas de conseguir dominios disponibles.
3. dnstwist: Buscador de Dominios para Detectar Squatting
Esta herramienta permite encontrar dominios de aspecto similar que los adversarios puedan usar para atacarte. Puedes detectar errores tipográficos, ataques de phishing, fraude y espionaje corporativo. Es útil como una fuente adicional de inteligencia de amenaza dirigida.
Puedes instalarlo en Linux con los siguientes comandos:
sudo apt-get install python3-dnspython python3-geoip python3-whois \
python3-requests python3-ssdeep
git clone https://github.com/elceef/dnstwist.git
cd dnstwist/
./dnstwist.py- Buscar es tan simple como ejecutar el siguiente comando:
dnstwist.py nombre.dominio
- La herramienta genera cientos y miles de nombres de dominio, especialmente para los más largos. En tales casos, puede ser práctico mostrar sólo los registrados utilizando el argumento –registered
dnstwist.py --registered nombre.dominio
4. CATPHISH: Phishing y el Espionaje Corporativo
Con esta herramienta puedes generar dominios de aspecto similar para ataques de phishing. Comprueba los dominios caducados y su estado de clasificación para evitar la categorización de proxy.
Puedes instalar esta herramienta con los siguientes comandos:
apt-get install bundler
git clone https://github.com/ring0lab/catphish.git
bundle install
ruby catphish.rb
El uso es tan simple como se indica a continuación:
catphish.rb -D nombre.dominio generate -A
- Comprobar los dominios caducados disponibles:
catphish.rb -D nombre.dominio expired5. Consejos de Protección contra la Typosquatting
Hemos reunido algunos consejos que puedes seguir para evitar la typosquatting. También tenemos información que te ayudará a conocer tus opciones legales si alguien compra un dominio de typosquatting que se parece a tu sitio web.
- Compra dominios de aspecto similar a los de la typosquatting y la cybersquatting. Los dominios no cuestan mucho, pero la compra de dominios de typosquatting puede ahorrarte costosas batallas legales, daños a la marca y tener que comprar los dominios de los typosquatters en el futuro a precios superiores.
- Comunícate con el infractor y comprueba si puedes llegar a un acuerdo. A veces, el titular del dominio puede no ser consciente de que su nombre de dominio se parece a alguna otra marca, especialmente si una marca es famosa en una región pero no en otra. A veces, el typosquatter pide un pequeño precio para entregar el dominio, lo que no supondrá una gran carga para las empresas. Por lo tanto, intenta hablar con el registrador del dominio antes de pasar a las opciones legales.
- Toma las opciones legales si nada más funciona. Puedes presentar una demanda contra alguien que creas que está haciendo typosquatting. Muchos países tienen leyes diferentes sobre estos casos. En las Naciones Unidas, la typosquatting está cubierta por la Ley de Protección al Consumidor Anti-Cybersquatting (ACPA). En el caso de los conflictos internacionales, puedes solicitar a la Organización Mundial de la Propiedad Intelectual (OMPI) que organice el arbitraje. Ellos tendrán en cuenta la Política Uniforme de Solución de Controversias en materia de Nombres de Dominio (UDRP) para estos casos.
- Marca registrada para tu nombre de marca/negocio. La definición de ciberocupación, tanto para la ACPA como para la UDRP, sólo cubre las marcas registradas. Por lo tanto, tu marca debe ser una marca registrada si decides tomar la vía legal.
6. Palabras Finales
Hemos llegado al final de nuestro viaje. Ahora ya sabes qué es la typosquatting, qué herramientas existen, algunos ejemplos de uso y probablemente puedas responder a la pregunta “¿qué es la typosquatting?” fácilmente. Para estar seguro como usuario al comprar en un sitio web de comercio electrónico, asegúrate de comprobar dos veces en qué sitio web te encuentras y comprueba los detalles del certificado SSL.
Para los propietarios de sitios web, adelántese a este problema comprando versiones mal escritas de su dominio, registrando su marca y comprando un certificado SSL con Extended Validation (EV).
