Cómo detectar ataques de phishing (edición criptográfica)

El phishing es una técnica increíblemente común utilizada por los ciberdelincuentes para robar información y dinero. Es común porque a menudo es muy fácil de hacer. ¿Por qué molestarse en intentar idear exploits técnicos altamente complicados para ingresar a los sistemas informáticos cuando se puede enviar unos pocos miles de correos electrónicos?

El éxito o el fracaso de una campaña de phishing se predice en función de la atención a sus objetivos. Con solo seguir algunos consejos, se puede fortalecer contra casi cualquier tipo de phishing.

Conoce a tus remitentes

Los correos electrónicos de phishing a menudo se hacen pasar por instituciones que usted conoce y en las que confía, como bancos e intercambios de criptomonedas. Esta suplantación varía en sofisticación, desde correos electrónicos obviamente falsos con muchos errores ortográficos de remitentes claramente dudosos como citibank-security@yahoo.com hasta réplicas perfectas de correos electrónicos oficiales de direcciones de correo electrónico que parecen casi correctas (por ejemplo, noreply@citiibank.com - ver Conozca los sitios a continuación). Dependiendo de los objetivos del atacante, estos correos pueden hacer cualquier cosa, desde intentar engañarlo para que proporcione credenciales, hacer una transferencia criptográfica o infectar su sistema con malware; este artículo se centrará principalmente en los dos primeros tipos.

Debido al alto grado de sofisticación posible en estos correos electrónicos, una buena regla general es minimizar su interacción con ellos en la medida de lo posible.

** Desconfíe de los correos electrónicos inesperados que requieran algo de usted. ** Se debe esperar la mayoría de los correos electrónicos de sitios que manejan su dinero: boletines informativos regulares, estados de cuenta regulares, notificaciones de inicios de sesión y transacciones que llegan poco después del inicio de sesión o la transacción. A veces, los anuncios pueden llegar inesperadamente, pero por lo general no le pedirán que haga algo de inmediato. Sospeche mucho de un correo electrónico inesperado de su banco que le pide que inicie sesión en su cuenta, especialmente si está redactado con urgencia.

No proporcione sus credenciales de usuario por correo electrónico. La mayoría de las instituciones financieras siempre se esfuerzan por enfatizar que nunca le pedirán su contraseña, y esto es cierto. La única vez que tendrá que dar su contraseña a alguien o algo es cuando inicie sesión en un sistema oficial. Para reducir su propia responsabilidad, los sitios web realmente tomarán la contraseña que ingrese, la cifrarán con un algoritmo unidireccional que no se puede revertir directamente y usarán esa versión cifrada (técnicamente "hash") para verificar que haya ingresado su contraseña correctamente. Esto significa que, por diseño, nadie debería conocer su contraseña excepto usted.

Evite hacer clic en enlaces o seguir URL en correos electrónicos siempre que sea posible. Por ejemplo, si su banco le envía un correo electrónico sobre el estado de su cuenta y desea iniciar sesión en la banca por Internet y verificar la veracidad del correo electrónico, debe hacerlo escribiendo cuidadosamente la URL de su banca por Internet o siguiendo un marcador que usted que haya hecho anteriormente, o incluso buscando el sitio utilizando un motor de búsqueda confiable como Google o DuckDuckGo, en lugar de hacer clic en los enlaces convenientes del correo electrónico.

Tenga cuidado con los enlaces en los que hace clic. A veces, hacer clic en enlaces de correos electrónicos es inevitable. A menudo, necesitará hacer clic en algo para verificar su cuenta o para iniciar sesión en algo desde una nueva ubicación. Intente hacer esto solo con los correos electrónicos esperados e inspeccione el enlace cuidadosamente. Lo que nos lleva a la siguiente sección ...

Conozca sus sitios

Si hace clic en un enlace en un correo electrónico de phishing, probablemente lo llevará a una versión falsa de la página de inicio de sesión para un sitio de alto valor que utiliza, como un intercambio de cifrado o un servicio de correo electrónico. Los atacantes pueden diseñar páginas de inicio de sesión falsas para que se parezcan exactamente a las reales y, a veces, incluso lo redireccionarán a la página de inicio de sesión del sitio real después de haber capturado sus credenciales.


Página de inicio de sesión de Bittrex falsa
Real Bittrex Login Page

Este sitio falso se alojará en un dominio configurado para parecerse al del sitio legítimo, pero la sofisticación de esto varía. Lo más probable es que el sitio falso también esté configurado para usar HTTPS, es decir, el candado verde. HTTPS por sí solo no significa que un sitio sea de confianza, solo significa que su conexión al sitio está encriptada y no puede ser interceptada.

Para que pueda detectar algunos sitios de phishing, como el de la captura de pantalla anterior, verificando el nombre de dominio en la URL. El dominio legítimo de Bittrex es bittrex.com, mientras que este sitio de phishing está alojado en bittrex.asset2fa-exchange.com. Es fácil ver cómo se puede confundir el último con el primero, pero una inspección cuidadosa muestra el truco. Algunos navegadores incluso le ayudan a determinar si se encuentra en este tipo de sitio de suplantación de identidad o no, al atenuar las partes secundarias de la URL.


https://bittrex.asset2fa-exchange.com/bittrex-login/

https://bittrex.com/account/login

Pero antes de que nos sintamos demasiado cómodos con nuestra capacidad para determinar un caso de phishing de un vistazo rápido a la barra de URL, recordemos que se trata de un ataque de bajo esfuerzo y poca sofisticación: nuestro atacante ni siquiera compró un nuevo dominio para apuntar a los usuarios de Bittrex. ¡simplemente usaron un subdominio de otra cosa!


Una consecuencia no deseada de la expansión genérica de dominios de nivel superior que comenzó en 2013 es que los phishers ahora tienen muchas más opciones al registrar dominios falsos. ¿Quiere hacer phishing a los usuarios de Poloniex.com? ¿Por qué no registrar Poloniex.online, o Poloniex.website, o Poloniex.xyz? Hay cientos de opciones para elegir. Y aunque los registradores de dominios tienen procesos de disputa, y las corporaciones más grandes con bolsillos más profundos (como Google) hacen un esfuerzo por comprar todos o la mayoría de los dominios alternativos en estos gTLD, los sitios de phishing pueden esperar el tiempo suficiente hasta encontrar una forma y causar daño.

Afortunadamente, el TLD genérico es una parte importante de la URL y la mayoría de los navegadores lo mostrarán como tal. Si conoce el gTLD legítimo de un sitio determinado, debería poder detectar las falsificaciones con bastante facilidad.

https://bittrex.com/account/login

https://bittrex.cash/account/login

Esto también fue posible en menor medida antes del lanzamiento de estos nuevos gTLD; por ejemplo, un phisher podría registrar bittrex.org.

Una alternativa al uso de un gTLD diferente es la práctica de errores tipográficos: comprar dominios a una o dos letras de sitios web populares: por ejemplo, facbook.com o gooogle.com. ¿Y si nuestro atacante hubiera hecho esto con Bittrex?

https://bittrex.com/account/login

https://bitrrex.com/account/login

Estas dos URL se ven notablemente similares, pero probablemente aún puedas saber cuál es la verdadera porque las tienes una al lado de la otra para comparar, y porque acabas de leer un párrafo sobre errores tipográficos y estás preparado para notarlo. Pero no siempre estarás en un estado de vigilancia tan elevado. Considere la siguiente imagen:

¿Ya te diste cuenta de lo que le pasa? Probablemente no, ¿verdad? Esto es lo que te perdiste: en cada uno de los triángulos, la última palabra de la segunda línea se repite al comienzo de la tercera. “Érase una vez”, “A John le encanta bailar”, “Verano en la ciudad”.


Es increíblemente fácil pasar por alto errores tipográficos simples y letras o palabras repetidas en palabras comunes, oraciones y, sí, nombres de dominio que miramos todo el tiempo.

Pero incluso si inspecciona rigurosamente cada nombre de dominio de cada sitio web que visita, incluso si va letra por letra para detectar errores tipográficos, aún podría engañarse, porque hay un nivel de sofisticación en estos ataques que los hace casi indetectables para los humanos. ojo: ataques homógrafos de IDN, en los que los caracteres de un nombre de dominio se sustituyen por otros caracteres de apariencia similar. Esto puede ser tan simple como reemplazar una i minúscula con una I mayúscula, o podría ser más complejo, usando letras con signos diacríticos o letras de alfabetos que no sean del inglés, como el cirílico. Eche un vistazo a estos:


myetheṙwạllet.com

myetherwalleŧ*.com*

myėtherwallėt.com

myetḥerwalleť*.com*

Claro, si tienes ojos de águila y mantienes una pantalla limpia, es posible que notes esos signos diacríticos. Pero, ¿puedes ver cuál de estas URL es legítima?


myеthеrwаllеt.com

myetherwallet.com

Si convertimos estas direcciones en Punycode, la respuesta queda clara:


xn — mythrwllt-5yh4ccf.com

myetherwallet.com

Pero antes de hacer eso, las URL eran esencialmente indistinguibles.

Dependiendo de su navegador y del idioma en el que esté configurado, es posible que tenga alguna protección incorporada contra este tipo de ataques, pero el panorama del dominio de phishing está en constante evolución, y las técnicas anteriores son solo un subconjunto de lo que es posible y lo que se ha utilizado con éxito. . Para asegurarse de que está visitando sitios seguros y confiables, debe confiar en algo más que en sus ojos.

El complemento de navegador Phishfort's Protect, disponible para Chrome y Firefox (código fuente aquí), le permite adoptar un enfoque proactivo para defenderse a sí mismo y a la comunidad de Internet en general del phishing. Después de instalar la extensión, se iluminará en azul en los sitios buenos conocidos, en rojo en los sitios defectuosos conocidos y en gris si se desconoce la seguridad del sitio. Debido a que es una colección de código fría y lógica, no se dejará engañar por subdominios, errores tipográficos u homógrafos engañosos. También le permite informar sobre sitios defectuosos, poniendo en práctica sus cuidadosas habilidades de análisis de dominio no solo para usted, sino para todos los usuarios de la extensión.

Por supuesto, ninguna extensión del navegador puede reemplazar completamente la vigilancia y el cuidado. Sigue siendo una mala idea iniciar sesión en sitios de alto valor desde enlaces en correos electrónicos fríos o realizar sus operaciones bancarias en una red Wi-Fi pública. El ojo humano no siempre es eficaz, es mejor asegurarse de los sitios que visita.

Resumen del sitio de phishing


Los sitios de phishing se pueden identificar mediante la inspección de sus URL, con una inspección más detallada necesaria para técnicas más sofisticadas. Esta inspección debe centrarse en el nombre de dominio del sitio, es decir, la sección de la URL que no está atenuada en la mayoría de los navegadores.

Conozca las criptoestafas

El phishing se utiliza para todo tipo de actividad delictiva, dirigida tanto a personas como a empresas, porque es eficaz e, incluso a un nivel sofisticado, relativamente sencillo de realizar en comparación con otras formas de ciberataque. Pero en el espacio criptográfico, es aún más poderoso. Si es víctima de un ataque de phishing que tiene como objetivo su cuenta bancaria, es posible que tenga algún recurso con su banco o la ley para recuperar el dinero que le robaron. Pero en criptografía, una vez que el dinero sale de su billetera, desaparece. Por diseño, no hay una autoridad central a la que apelar.

La criptomoneda es un enfoque radicalmente nuevo para todo el concepto de dinero, y muchas personas se han vuelto muy ricas al ingresar a ICO y monedas infravaloradas en el momento adecuado. Los estafadores participan en esto ofreciendo ofertas que, en cualquier otro mercado, parecerían obviamente demasiado buenas para ser verdad, pero debido a la novedad de las criptomonedas y las ganancias astronómicas muy reales que unos pocos afortunados han visto, pueden parecer plausibles, especialmente si lo desea. créelo.

Para protegerse contra esto, debe ser un poco cínico. Si suena demasiado bueno para ser verdad, incluso en criptografía, probablemente lo sea. Pregúntese siempre cómo la persona que le ofrece un trato increíble se beneficia de su participación y, si la respuesta no es clara, aléjese.

Las estafas comunes en el espacio criptográfico incluyen:

ICO falsas, en las que los estafadores pueden hacerse pasar por un nuevo proyecto conocido y promocionado, o simplemente inventar una moneda falsa propia utilizando todas y cada una de las técnicas descritas anteriormente (dominios falsos, correos electrónicos falsos y sitios web falsos) pero con el objetivo de conseguir que transfieras dinero a su (s) billetera (s) en lugar de revelar tu nombre de usuario y contraseña.

Estafas de obsequios, en las que los estafadores solicitarán un pequeño pago a una determinada dirección a cambio de un pago mayor en una fecha posterior. Esta es solo una variación criptográfica de la clásica estafa Nigerian Prince 419. Si suena demasiado bueno para ser verdad, probablemente lo sea.

Para evitar caer en este tipo de cosas, tenga en cuenta los consejos anteriores sobre cómo lidiar con correos electrónicos de phishing y sitios web de phishing. Si recibe un correo electrónico sobre una ICO nueva y atractiva, no haga clic en el enlace gigante y tentador "INVERTIR AHORA" en el medio; en lugar de eso, investigue un poco sobre la ICO en la web y las redes sociales, y descúbralo usted mismo si es un proyecto legítimo y dónde está su sitio web real. Si bien, en teoría, es posible que un sitio web de phishing falso para un proyecto legítimo aparezca en la parte superior de los resultados de búsqueda (y por encima del sitio web real del proyecto), hacerlo es significativamente más difícil que registrar un dominio homógrafo.

Las estafas de criptomonedas no se limitan al phishing por correo electrónico, sino que también aparecen en redes sociales como Twitter, por lo que es importante ejercer el mismo nivel de vigilancia fuera de su bandeja de entrada que en ella.


Conclusión

El conocimiento y la vigilancia son sus mejores defensas contra el phishing y otros ciberataques. Al saber un poco sobre cómo funcionan estos ataques, puede detectarlos usted mismo. Y al tomar algunas precauciones sensatas y armarse con herramientas como PhishFort Protect, puede evitar convertirse en una víctima e incluso tomar una posición proactiva contra los atacantes y proteger a los demás.




No se pierda Nuestras Historias