La palabra clave más común de combosquatting es "support"
Resumen ejecutivo
Los ataques de cibersquatting (también conocidos como squatting de dominios y secuestro de URL) se utilizan a menudo durante campañas de phishing, robo de identidad e intentos de instalación de malware.
El combosquatting desbanca al typosquatting tanto en términos de número de dominios activos como de clics, lo que lo convierte en la mayor amenaza de cibersquatting de hoy en día.
Analizamos el tráfico de DNS global y las listas de dominios maliciosos internos para identificar las palabras clave más utilizadas.
Hemos recopilado una muestra de las 50 palabras clave más populares relacionadas con el combosquatting.
Introducción
Los agentes maliciosos imitan los sitios web de las marcas a diario. Su funcionamiento sería difícil de lograr en la vida real; por ejemplo, el edificio físico necesario podría ser difícil de obtener. Sin embargo, online, estos atacantes pueden alojar sitios similares bien diseñados que incluyen imitaciones de nombres de dominio.
A menudo, estos sitios web están alojados en nombres de dominio que son una aproximación cercana al dominio de la marca original. Nos referimos a ellos como dominios de cibersquatting.
Nuestro análisis de los dominios maliciosos ha demostrado que el combosquatting es la mayor amenaza de cibersquatting. En esta publicación, presentamos cómo podemos detectar el combosquatting en el tráfico de DNS y enumeramos las palabras clave más comunes que utilizan los atacantes para engañar a organizaciones y personas por igual.
¿Qué es el cibersquatting?
Los dominios de cibersquatting son nombres de dominio registrados y utilizados por agentes maliciosos para beneficiarse de la buena voluntad de una marca o un nombre que no poseen. El cibersquatting suele verse como facilitador en campañas que intentan instalar ransomware (por ejemplo, mediante el malvertising), realizar intentos de phishing o robar la identidad de alguien.
Variantes de cibersquatting
Hay varios tipos de cibersquatting rondando por ahí. La tabla 1 muestra las diferencias entre ellos, utilizando la marca ficticia safebank[.]com.
Variante |
Descripción |
Ejemplo de safebank[.]com |
|---|---|---|
Combosquatting |
Se agrega una palabra clave al dominio de la marca |
safebank-security[.]com |
Typosquatting |
Adición, eliminación o sustitución de un carácter |
safebqnk[.]com |
Bitsquatting |
Volteo aleatorio de bits ASCII |
sagebank[.]com |
IDN homográfico |
Uso de caracteres de apariencia similar |
sǎfebank[.]com |
TLD squatting |
Sustitución del dominio de nivel superior (TLD) |
safebank[.]co |
Soundsquatting |
Uso de homófonos |
savebank[.]com |
Dotsquatting |
Inserción de uno o más puntos |
sa.febank[.]com |
Tabla 1: Variantes del cibersquatting
De estas variantes, la del dotsquatting se gana una mención adicional. Durante nuestra investigación de la literatura existente, no pudimos encontrar ninguna mención a ella. Sin embargo, observamos estos casos con la suficiente frecuencia en nuestros datos como para justificar su propio espacio. Dotsquatting es el nombre descriptivo dado por nuestro equipo, así que así es como la hemos llamado aquí.
Cómo interactúan las variantes
Hay alguna superposición entre los diversos tipos de squatting, especialmente entre el bitsquatting y el typosquatting. El ejemplo de bitsquatting anterior es un caso de esto: Como "g" está junto a "f" en un teclado QWERTY, también podría considerarse typosquatting.
Estos tipos tampoco se excluyen mutuamente. También se pueden combinar varios tipos de squatting dentro de un único nombre de dominio, como safebank-security[.]co, que se puede considerar combosquatting y TLD squatting.
Por último, no todo el cibersquatting que ronda por ahí está cubierto en la tabla 1. Y es probable que en el futuro haya aún más variantes a medida que estos vectores de ataque tiendan a evolucionar.
Monetización del cibersquatting
Los daños financieros y los impactos del cibersquatting han existido durante muchos años, pero sigue siendo una amenaza enorme tanto para las organizaciones como para las personas.
El término también se utiliza comúnmente en contextos más generales. Los métodos típicos en esta área son el almacenamiento de nombres de dominio y llevar la delantera en cuanto a nombres de dominio. Por ejemplo, alguien compra coke[.]net (un TLD squatting) y trata de venderla para obtener un gran beneficio a Coca-Cola Company. Otro tipo de monetización comúnmente encontrado es la comercialización afiliada mediante el robo de clics. Por ejemplo, registrar payypal[.]com y, a continuación, redirigir a los visitantes al sitio web auténtico a través de un código de referencia. Los intentos son numerosos y a menudo tienen éxito. Los éxitos en el pasado llevaron a la aprobación de varias leyes y reglamentos, incluyendo la Ley de protección al consumidor contra el cibersquatting (ACPA) en EE. UU.
Ejemplos de cibersquatting con éxito
En 2023, Reddit fue víctima de una campaña de phishing muy dirigida. El ataque consistía en un sitio web que clonó el comportamiento de su puerta de enlace de intranet, alojada en un dominio de cibersquatting, este último mencionado implícitamente en la respuesta a incidentes de seguridad de Reddit. Los agentes maliciosos obtuvieron acceso a información limitada de empleados y anunciantes.
Facebook fue víctima de ello en 2011 a través de más de 100 nombres de dominio parecidos creados a partir de simples errores ortográficos. Facebook recibió más tarde una indemnización de casi 2,8 millones de dólares por daños.
Los consumidores también pueden ser objeto de un ataque directo. En octubre de 2022, Bleepingcomputer informó de una amplia campaña de typosquatting con el objetivo de conseguir que las personas instalaran aplicaciones infectadas por malware. Las víctimas se infectaron con keyloggers y malware que robaron credenciales de cuentas bancarias y carteras de criptomonedas.
La popularidad del combosquatting
En nuestro análisis de 2022, el combosquatting fue el tipo de cibersquatting más comúnmente observado en términos de nombres de dominio únicos. En otras palabras, los agentes maliciosos utilizan el combosquatting como parte de su vector de ataque con mucha más frecuencia que otros tipos de cibersquatting.
El combosquatting también parecía generar la mayoría de las consultas DNS, y cada una de esas consultas representaba a una posible víctima que visitaba un dominio malicioso.
Según nuestro análisis, estos dos puntos de datos hacen que el combosquatting sea la mayor amenaza de cibersquatting.
El typosquatting está robando el foco de atención
Esta información de nuestro equipo va en línea con los resultados de un estudio a gran escala desde 2017, que se centró específicamente en el combosquatting: "Descubrimos que los dominios de combosquatting son 100 veces más frecuentes que los dominios de typosquatting".
A pesar de todo esto, nos parece que el typosquatting, no el combosquatting, es la variante que recibe la mayor parte de la atención en la investigación, los blogs y las revistas. Como investigadores, no pudimos encontrar datos que respaldaran esta atención sobre el typosquatting. Los datos que hemos visto nos hacen creer que los agentes maliciosos están más que contentos de que el typosquatting tenga el foco de atención, así el combosquatting puede seguir pasando desapercibido.
Palabras clave en el combosquatting
Recuerde: el combosquatting es una variante de cibersquatting en la que se añade una palabra clave al dominio de la marca. A continuación le presentamos algunos ejemplos adicionales para safebank[.]com:
safebank-members[.]com
mysafebank[.]com
login-safebank[.]com
Pero, ¿cómo definimos palabra clave? Si echamos un vistazo a los ejemplos anteriores, podemos ver palabras clave como "members","my" y "login" anexadas a la marca "safebank" mediante un guión (login-safebank) o simplemente concatenadas (mysafebank) directamente a ambos lados.
Las palabras clave están destinadas a invocar ciertos sentimientos, como se muestra en la tabla 2.
Palabras clave |
Sentimientos |
|---|---|
Verificación, cuenta, inicio de sesión |
Seguridad, autoridad |
Ahora, alerta |
Urgencia |
Gratis, promoción |
Miedo a perderse algo |
Tabla 2: Ejemplos de palabras clave y los sentimientos que evocan
Los nombres de marca no son sinónimos de legitimidad
El nombre de la marca (safebank) hace que el enlace parezca legítimo. Por supuesto, el hecho de que un enlace contenga un nombre de marca no lo hace seguro. Nada impide que alguien registre nombres de dominio que contengan nombres de marcas comerciales. Está claro que el objetivo del atacante aquí es desencadenar una respuesta rápida y emocional en el usuario, en lugar de una respuesta racional. Combinar la marca con una palabra clave parece una manera sensata de lograr esto.
Ahora bien, ¿cómo utilizamos este conocimiento para proteger a las personas?
Como equipo de investigación de ciberseguridad, tenemos el arma más potente: los datos. Tenemos acceso a una enorme lista de dominios que hemos marcado como maliciosos. Compartimos dicha lista con nuestros clientes, lo que les permite proteger a los usuarios finales mientras navegan por Internet. Además, también podemos utilizar los datos de tráfico de DNS para ver las tendencias de palabras clave en dominios observados recientemente, que contienen dominios tanto malintencionados como inofensivos.
Detección de palabras clave basada en datos
Es importante tener en cuenta que el conjunto de datos que utilizamos para este análisis contiene solo dominios de phishing maliciosos. Esto nos permitió centrarnos únicamente en las palabras clave que los atacantes utilizan activamente en la actualidad. Cada entrada se ha marcado como phishing a través de varios procesos internos para garantizar la precisión. En esta sección, le guiaremos a través de un resumen general de cómo hemos recopilado la lista de palabras clave comunes.
Iniciando el análisis
Seguro que recuerda que a veces las palabras clave se agregan a una marca mediante un guión y a veces se concatenan directamente.
Las palabras clave del primer caso son fáciles de encontrar: solo necesitamos dividir un nombre de dominio por guiones, ya que los guiones son delimitadores naturales. Por ejemplo: Supongamos que tenemos un dominio amazon-e[.]com. El guión revela lo que son las palabras clave: el nombre de la marca amazon y la palabra clave e. Muy sencillo.
Sin embargo, las palabras clave directamente concatenadas presentan un desafío mucho mayor. Requieren una variedad de puntos de conocimiento, como el idioma, las marcas localizadas e incluso el comportamiento de navegación. Las superposiciones de palabras clave son un ejemplo común de esto.
Echemos un ojo a amazone[.]com. Aquí, no tenemos ni idea de si la marca es Ama (fabricante italiano de zapatillas de cuero), Amaz (marca de diseño de moda femenina griega) o Amazon (empresa tecnológica americana). Este dominio nos proporciona las siguientes opciones de palabras clave: zone, one, e, y todas podrían ser válidas.
Filtrado de dominios
Ahora, simplificamos enormemente la tarea. Limitamos el análisis al primer tipo de palabras clave que son fáciles de extraer: los nombres de dominio que contienen guiones. La distribución de este subconjunto debe seguir a la distribución de todo el conjunto de datos, debido al gran volumen de datos.
En pocas palabras, el proceso inicial incluía cuatro pasos principales:
Tomar los nombres de dominio de nuestra lista de phishing como entrada
Quitar el TLD
Filtrar el resto de la lista por nombres de marcas comunes
Dividir por el guión
Una vez completados estos cuatro pasos, recopilamos todas las palabras resultantes en una gran lista. A continuación, afinamos esta lista aún más (eliminando los nombres de marca), dejando solo las palabras clave. Finalmente, compilamos todas las palabras clave y hacemos un recuento.
Las 50 palabras clave más populares de combosquatting
A través del proceso de filtrado anterior, nos quedan las palabras clave más populares de combosquatting dirigidas a marcas populares. Sabemos que esto es cierto porque todas las entradas en sí se confirmaron como dominios de phishing en el pasado.
La tabla 3 enumera las 10 palabras clave más comunes del combosquatting (en inglés) extraídas mediante este proceso, por rango de popularidad. Puede encontrar la lista completa de las 50 principales en nuestro GitHub.
Clasificación |
Palabra clave |
|---|---|
1 |
support |
2 |
com |
3 |
login |
4 |
help |
5 |
secure |
6 |
www |
7 |
account |
8 |
app |
9 |
verify |
10 |
service |
Tabla 3: las 10 principales palabras clave de combosquatting (en inglés) en orden de popularidad
Esto nos da una visión muy clara de las palabras clave que los atacantes están aprovechando para engañar a las víctimas. Como puede ver, la palabra clave más utilizada es "support". Esto se debe probablemente a que las páginas de asistencia legítimas son a menudo portales dentro de un sitio, por lo que la URL es algo parecido a support[.]company-name[.]com.
Sorpresas
Un hallazgo sorprendente fue "com". Se trata de una palabra clave que no esperábamos que tuviera una posición tan alta, y no habríamos sido conscientes de ello sin el enfoque basado en datos esbozado y nuestro amplio conjunto de datos. Algunos ejemplos son accountpaypal-com[.]info y com-apple[.]co.
Otro es "jp", el TLD de Japón. Algunos ejemplos son apple1-jp[.]com y jp-rakuten[.]com. Hay otras palabras clave en esta lista que son códigos TLD: "US", "UK" y "FR". Esto posiblemente pueda indicar los países a los que más se dirigen los ataques.
Conclusión
Las aplicaciones potenciales del cibersquatting son innumerables y las víctimas objetivo van desde consumidores individuales hasta grandes corporaciones. Esto dificulta cuantificar el daño total que está causando el cibersquatting. Además, creemos que las campañas de cibersquatting están muy infravaloradas; muchas solo reciben prensa una vez que una gran entidad se ve afectada.
Estos incidentes a gran escala y sus primos pequeños son lucrativos, y es fundamental que realicemos análisis como este para aumentar nuestra comprensión del comportamiento de los atacantes.
Seguiremos vigilando amenazas como estas para su análisis posterior y compartiremos los resultados con la comunidad. Para estar al día de las últimas investigaciones sobre seguridad, síganos en Twitter.
