El phishing ha evolucionado: así es el phishing basado en homoglifos
El phishing es una técnica de ataque informático en el que se mezclan componentes de ingeniería social y malware, cuyo fin es engañar al usuario para obtener sus datos. Para ello se utilizan correos, SMS, banners u otras artimañas a modo de gancho para llamar la atención del usuario.
Dependiendo del objetivo del ataque, estos datos pueden ser credenciales de usuario o datos bancarios. Se obtienen mediante un enlace falso en el que se hace creer al usuario que se encuentra en la página de un servicio legítimo (como su banco, su proveedor de correo o su tienda online de confianza) para que él mismo introduzca su nombre de usuario y contraseña de acceso al servicio, sus datos bancarios u otros datos personales.
El engaño reside en que, obviamente, el usuario no está accediendo al servicio legítimo que él cree, sino que sus datos de acceso se habrán enviado a unos ciberdelincuentes que acto seguido procederán a vaciar la cuenta bancaria del inocente usuario, a obtener información sobre él accediendo a su correo y a todos los servicios relacionados con esa cuenta, o a realizar valiosas compras a cuenta del usuario que, por supuesto, nunca recibirá.
¿Eres capaz de reconocer un ataque con phishing?
Durante años, el phishing se ha ganado la fama de ser una técnica tosca y poco sofisticada a la hora de crear los ganchos para obtener datos de los usuarios, por lo que un usuario mínimamente informado y prevenido contra este tipo de ataque será capaz de detectar, de una forma más o menos efectiva, cuando se encuentra ante un ataque de estas características.
Faltas de ortografía o errores gramaticales muy evidentes fruto de las traducciones automáticas de los textos, dominios que no coinciden con los originales o conexiones no cifradas son algunos de los trucos para detectar phishing a simple vista.
Aproximadamente el 45% de los usuarios afirma ser capaz de interpretar las señales de alarma que indican que se encuentra ante un phishing, una amenaza que se está involucrada en el 15,85% de ataques sufridos por empresas y usuarios cada año.
Sin embargo, un malware, sea del tipo que sea, busca alcanzar su objetivo, por lo que las técnicas de phishing también se han ido depurando con el tiempo y muchas de ellas solo pueden ser identificadas por una herramienta de seguridad equipada con un filtro antiphishing.
Los sistemas de traducción automática han mejorado sus capacidades, siendo capaces de traducir textos de forma correcta y con gran concordancia gramatical a la hora de generar las frases, hasta el punto de que un nativo de esa lengua no notaría que se trata de un texto generado de forma automática.
Los ciberdelincuentes ponen mayor atención a los detalles a la hora de diseñar las “páginas señuelo”, de forma que resulta prácticamente imposible diferenciar la copia del original, llegando incluso a cargar fragmentos de la página original en scripts de la página señuelo.
Además, se las han ingeniado para obtener certificados válidos para las conexiones cifradas que usan (hacia sus servidores, por supuesto) por lo que en la página de phishing, aparecerá como página cifrada mostrando el prefijo HTTPS.
Todo este perfeccionamiento tiene su cénit en la utilización de homoglifos para hacer creer al usuario que realmente se encuentra en la página legitima ya que así lo muestra claramente en la barra del navegador. Pero ¿qué es eso de los homoglifos?
Ataque de phishing con homoglifos: no dejes que tus ojos te engañen
Un homoglifo con dos o más grafemas, caracteres, o glifos con formas que aparentan ser idénticas o no pueden distinguirse mediante una inspección visual rápida.
Es decir, dos caracteres que, a simple vista podrían parecer el mismo pero que, en realidad, son muy diferentes. Algunos de los ejemplos más básicos de homoglifos lo encontramos entre la letra i mayúscula (I) y la letra ele minúscula (l) en determinadas tipografías o la letra o mayúscula (O) y el cero (0).
Si te mostráramos en un texto estos caracteres (IOl0) por separado, ¿serías capaz de distinguir cuál es cuál? Este es solo un ejemplo sencillo de homoglifo. Pero subimos la apuesta y añadimos caracteres en otros alfabetos, como el cirílico, armenio, hebreo o el griego, que coinciden en su forma con caracteres del alfabeto latino.
Los ciberdelincuentes ya lo están aplicando para engañar a los usuarios con los nombres de los dominios que creen que están visitando
A nivel visual, el usuario vería que en la barra de direcciones de su navegador aparece, por ejemplo, el dominio legítimo de PayPal, cuando en realidad estaría visitando “РayРal” un dominio falso que utiliza el caracter “Р” del alfabeto cirílico muy similar a la letra P latina, pero que resulta imposible de diferenciar.
Ambos caracteres parecen idénticos para los usuarios, pero a nivel informático, ambos caracteres tienen codificaciones distintas por lo que si un ciberdelincuente registra un dominio en el que se usaran los caracteres cirílicos para emular los latinos, sería totalmente diferente del original y contaría con todos los certificados de seguridad, aunque visualmente son idénticos para el usuario.
Esto anula de un plumazo dos de los trucos que los usuarios usaban para detectar phishing: la idoneidad del dominio, que en este caso coincide al 100% a nivel visual con el original; y el prefijo HTTPS, ya que la página, aunque fraudulenta, cuenta con todos los certificados de seguridad ya que su dominio es legítimo.
Cómo evitar el “nuevo” phishing”
El phishing mantiene un fuerte componente de ingeniería social, por lo que todo en su infraestructura de engaño ha sido diseñado para que el usuario se sienta atraído, bien con un mensaje irresistible o mediante el engaño visual para hacer creer que se encuentra en una página segura.
Sin embargo, al phishing entre bambalinas se le ve el plumero. El rastro de código que deja a su paso no deja lugar a dudas de que algo turbio está sucediendo tras ese código, por lo que llega el momento de dejar actuar a las herramientas de seguridad informática equipadas con avanzados sistemas antiphishing.
Todas las soluciones de seguridad de ESET en 2019, tanto para ordenadores como para dispositivos móviles, incluyen un avanzado sistema antiphishing capaz de detectar y bloquear comportamientos anómalos en la carga de las páginas web para detectar cuando existe un riesgo real para la seguridad del usuario. Incluso cuando el usuario crea que se encuentra totalmente a salvo en la página de PayPal, Google, Apple o cualquier otra página o servicio que pueda parecer legítimo.
La suspicacia continúa siendo una buena arma contra el phishing, sobre todo cuando se acompaña de normas tan básicas como la de nunca utilizar un enlace acortado o que te han enviado para acceder a un servicio.
Es decir que, si te llega una supuesta oferta irresistible de Amazon o una factura impagada de tu servicio de vídeo en streaming, en lugar de acceder desde el enlace adjunto —que probablemente te llevaría a una trampa de phishing perfectamente diseñada para engañar a tus ojos--, lo mejor es abrir una nueva ventana del navegador, buscar la página del servicio o tienda, y buscar la oferta en ella. Si no la encuentras, es porque probablemente era solo un señuelo para obtener tus datos.
Las soluciones de seguridad informática de ESET también incluyen sistemas de protección para compras online y transacciones en banca online. Este sistema de protección de transacciones online, ejecuta automáticamente una nueva ventana del navegador totalmente aislada y segura en la que puedes insertar tus datos de pago a la hora de realizar tus compras o transacciones bancarias.
Si la página en la que te encuentras no es legítima, el sistema de aislamiento no se activa, señal de que se trata de un engaño y la página en la que te encuentras no es realmente la de tu tienda online habitual o la de tu banco.
Como ves, el phishing ha evolucionado hasta niveles en los que ya no te puedes fiar de tu pericia o del sentido común, por ello se hace necesaria la intervención de un aliado digital capaz de examinar el código que hay detrás de lo que el usuario está viendo para determinar si se trata de un riesgo para su seguridad y la de sus datos neutralizando la amenaza.