El phishing lleva mucho tiempo entre nosotros, y las cifras más recientes del índice muestran que los atacantes lo utilizan con entusiasmo.
- Índice de amenazas DNS de Infoblox, informe trimestral del segundo trimestre de 2015
- Una breve historia de los dominios genéricos de nivel superior
- TLDs de código de país
- ¿Sabía que? Cincuenta y cuatro países han optado por permitir el uso de sus ccTLD para fines comerciales. Por ejemplo, .co, el ccTLD de Colombia, puede utilizarse en lugar de .com. Es muy popular, debido al floreciente dominio .com, y permite a las empresas tener formas alternativas de formar nombres de sitios web. ¿Ha visto la URL http://o.co? Eso es Overstock.com proporcionando una forma alternativa para que usted pueda llegar a la empresa a través de su navegador. Es posible que haya visto youtu.be. Es una URL legítima, registrada por Google utilizando el ccTLD de Bélgica, .be. Mucha de la industria del entretenimiento utiliza el ccTLD de Tavalu, .TV. Es una gran forma de ganar dinero para el país insular. Cuando intentes determinar si un sitio es legítimo, ten en cuenta que muchos ccTLD también se utilizan con fines comerciales. Lo que parece un sitio sospechoso podría ser, de hecho, legítimo. Sin embargo, los ccTLDs también pueden utilizarse para formar nombres de sitios de phishing, así que en caso de duda, ¡no haga clic!
- Cómo se forman los enlaces/URLs
- Ejemplos de enlaces/URLs
- ¿Sabías que? Visitas una web y ves «www1» o «www2» (u otro número) en la URL. ¿Qué significa esto? Algunos sitios web pueden ser muy populares y, por lo tanto, tienen varios servidores trabajando en una configuración de equilibrio de carga para servir el contenido cuando se solicita. Algunas empresas deciden numerar sus servidores. Por lo tanto, si ves un www1 o www2 (u otro www#), sólo estás viendo qué servidor # entre los múltiples servidores está proporcionando el contenido. Con respecto al phishing, ver un www1, www2, etc., no es en sí mismo un indicador de un sitio de phishing.
- Conclusión
Índice de amenazas DNS de Infoblox, informe trimestral del segundo trimestre de 2015
Los usuarios finales de la red, como defensores de primera línea, son un componente crítico del programa de seguridad de la información de una organización. En los últimos años, los temas de concienciación y formación para los usuarios finales de la red han incluido la suplantación de identidad debido tanto a su naturaleza desenfrenada como a los métodos cada vez más sofisticados que utilizan los suplantadores para atraer a las víctimas. Cuando nuestros consultores evalúan el riesgo dentro de una organización y discuten con ellos sus esfuerzos de concienciación y formación sobre el phishing, podemos ver orientaciones como «no haga clic en enlaces sospechosos» y «pase el puntero del ratón sobre los enlaces de un correo electrónico para comprobar si es legítimo». Sin embargo, ¿cómo se evalúa si un enlace y el localizador uniforme de recursos (URL) asociado conducen a un sitio legítimo o no?
Para evaluar los enlaces y las URL, una persona debe entender los dominios genéricos de primer nivel (gTLD), los TLD de código de país (ccTLD) y otros tipos de dominios de Internet. Para ello, este artículo proporciona información de alto nivel sobre la lectura e interpretación de enlaces/URL.
Una breve historia de los dominios genéricos de nivel superior
Todos estamos acostumbrados a ver gTLDs. Casi a diario, utilizamos gTLDs, incluidos los más familiares para nosotros, como .com, .gov y .edu. Son una parte clave de la estructura de Internet. También son bien comprendidos por los phishers, que manipulan las URL para un uso fraudulento. Para evaluar mejor los enlaces en los correos electrónicos, así como las URL en los navegadores, es bueno saber cómo han evolucionado los distintos dominios y cómo funcionan.
En 1984, se utilizó el Request for Comments (RFC) 920 para definir los «dominios de propósito general» originales: .com, .gov, .mil, .edu y .org. A principios de 1985 se añadió otro dominio, .net, que también se considera uno de los dominios «originales». En 1988, se añadió .int (internacional) para satisfacer la petición de un dominio de la Organización del Tratado del Atlántico Norte. A lo largo de los años, se añadieron otros dominios, como .biz y .info (2001). A principios de 2011, se habían creado 22 gTLD. En junio de 2011, la Corporación para la Asignación de Nombres y Números en Internet (ICANN) votó a favor de eliminar muchas de las restricciones a las solicitudes e implementación de los gTLD, abriendo de hecho la puerta a la utilización de casi cualquier gTLD. Bajo las nuevas reglas, en mayo de 2015, más de 600 gTLDs, incluyendo nuevos gTLDs como .auto, .computer, .network, .social, .pizza, .organic, habían sido registrados y autorizados para su uso en Internet. Según algunos expertos en seguridad, esta evolución de los gTLD se considera un regalo para los phishers porque les permitirá formar una multitud de nuevos sitios web de phishing. Para obtener una lista completa de los gTLDs ampliados, consulte la base de datos de la zona raíz de la Autoridad de Asignación de Números de Internet (IANA) (https://www.iana.org/domains/root/db).
TLDs de código de país
Los TLDs de código de país también forman parte de muchas URLs y, por lo tanto, es de esperar que los veamos en los enlaces en alguna ocasión. Los países tienen ccTLDs para ayudar a distinguir en qué país está registrado un sitio o de dónde proviene. Por ejemplo, el ccTLD de Estados Unidos, .us, suele ser utilizado por los gobiernos estatales y locales. Otros ejemplos de ccTLD son Australia, .au; Japón, .jp; y Reino Unido, .uk. Cuando lea un enlace o una URL, tenga en cuenta que la ubicación del ccTLD dentro de la URL puede cambiar (al final de una URL, como http://www.gov.uk, o antes en una URL, como https ://uk.news.yahoo.com).
Cómo se forman los enlaces/URLs
Entonces, ¿cuál es la clave para leer las URLs en los enlaces? La respuesta básica es que, dentro de un enlace, lo importante se encuentra entre la doble barra diagonal «//» y la primera barra simple, principalmente en la zona resaltada que se muestra a continuación. Para interpretar la URL, hay que ir a la primera barra oblicua simple y, a partir de ahí, retroceder. Después de la primera barra oblicua, aparecen elementos como directorios, subdirectorios, nombres de archivos y tipos de archivos.
Nota: El marco anterior es el desglose básico de la URL. En lugar de http:// o https://, puede ver ftp://, gopher://, o news://. Estos son diferentes tipos de protocolos de transferencia. Además, aunque www está en muchas URLs, no es un componente obligatorio. Es posible que vea campos adicionales antes del gTLD y el nombre de dominio/servidor secundario. Después de la primera barra diagonal, puede ver campos que indican fechas u otra información utilizada para identificar un recurso.
Ejemplos de enlaces/URLs
Ahora que estamos armados con alguna información de fondo, veamos algunos ejemplos.
-
Estamos bastante acostumbrados a ver y utilizar sitios comerciales, como: http://www.amazon.com
Este es un sitio conocido, y la URL no incluye ninguna modificación sospechosa.
Evaluación: LEGIT! -
Las URLs pueden formarse de casi cualquier manera. Esto hace que sea fácil para los propietarios de sitios para construir nombres de sitios únicos. También facilita que los phishers hagan lo mismo, lo que significa que pueden crear nombres de sitios que se aproximan mucho a los nombres de sitios legítimos. Por ejemplo, mira lo que un simple punto puede hacer a un nombre de sitio: http://www.ama.zon.com/gp/cart/view.html/ref=nav_cart
Si una persona hiciera clic en el enlace anterior, en lugar de ir a amazon.com, la persona sería dirigida al sitio zon.com, que podría ser un sitio registrado por los phishers.
Evaluación: Sospechoso! -
¿Qué tal este enlace? http://This La dirección de correo electrónico está siendo protegida contra los robots de spam. You need JavaScript enabled to view it./catalog
En este caso, una persona sería dirigida a la dirección IP 66.161.153.155, no a amazon.com. Si ves un enlace/URL con el signo «@», ten especial cuidado. Los phishers utilizan habitualmente esta táctica de manipulación de URLs.
Evaluación: ¡Sospechoso! -
¿Qué pasa si ves esta URL en un enlace? http://209.131.36.158/amazon.com/index.jsp
Esta URL es algo similar en su función a la URL del #3 anterior. Una persona sería dirigida a la dirección IP, no a amazon.com, que aparece después de la primera barra diagonal simple.
Evaluación: ¡Sospechoso! -
¿Qué pasa si ves una URL similar a la de abajo, o, mientras ves cargar una página web, ves algo similar a esto en la barra de URL? http://www.google.com/url?q=http://www.badsite.com
Este ejemplo muestra una URL que remitiría a una persona desde un sitio (en este caso, google.com) a otro sitio, badsite.com (nótese la nomenclatura «=http://» que lo permite). Las referencias no son malas en sí mismas, pero una referencia podría llevar a un sitio de phishing. En este caso, badsite.com no parece ser legítimo.
Evaluación: ¡Sospechoso!
¿Sabías que?
Visitas una web y ves «www1» o «www2» (u otro número) en la URL. ¿Qué significa esto? Algunos sitios web pueden ser muy populares y, por lo tanto, tienen varios servidores trabajando en una configuración de equilibrio de carga para servir el contenido cuando se solicita. Algunas empresas deciden numerar sus servidores. Por lo tanto, si ves un www1 o www2 (u otro www#), sólo estás viendo qué servidor # entre los múltiples servidores está proporcionando el contenido. Con respecto al phishing, ver un www1, www2, etc., no es en sí mismo un indicador de un sitio de phishing.
Visitas una web y ves «www1» o «www2» (u otro número) en la URL. ¿Qué significa esto? Algunos sitios web pueden ser muy populares y, por lo tanto, tienen varios servidores trabajando en una configuración de equilibrio de carga para servir el contenido cuando se solicita. Algunas empresas deciden numerar sus servidores. Por lo tanto, si ves un www1 o www2 (u otro www#), sólo estás viendo qué servidor # entre los múltiples servidores está proporcionando el contenido. Con respecto al phishing, ver un www1, www2, etc., no es en sí mismo un indicador de un sitio de phishing.
Para ayudar a los usuarios a determinar rápidamente los dominios de nivel superior y secundario dentro de una URL, algunas empresas y organizaciones han comenzado a utilizar el «resaltado de dominios». Cuando un usuario visita un sitio, parte de la URL se oscurece después de unos segundos, dejando los dominios de primer nivel y los secundarios en la oscuridad. Por ejemplo:
Siempre es bueno buscar señales de un sitio legítimo y seguro: candado cerrado, https:// y el nombre de la empresa resaltado en verde dentro de la URL (como en el ejemplo de PayPal anterior). Si el certificado de un sitio está caducado o no es válido, algunos navegadores, como Internet Explorer y Firefox, o servicios de seguridad, avisarán a los usuarios. Una persona puede preguntarse si es seguro continuar con la advertencia. En este caso, utilice otros indicadores disponibles (revise la URL de nuevo) para ayudar a determinar si el sitio es legítimo. En caso de duda, no proceda.
Conclusión
El phishing sigue siendo un problema mundial, agravado por los usuarios que no son conscientes de las tácticas de phishing, los métodos de phishing cada vez más sofisticados y, ahora, un conjunto cada vez mayor de dominios de nivel superior genéricos. Aunque los enlaces en los correos electrónicos no son el único método que utilizan los phishers, es muy común. Para reducir los riesgos que supone el phishing, es necesario saber interpretar los enlaces y las URLs asociadas.
Si está interesado en saber más sobre ingeniería social, concienciación y formación, y servicios de evaluación de riesgos, póngase en contacto con nosotros hoy mismo.