Camuflando webs maliciosas con otros alfabetos

por:

Hace unos días la compañía de seguridad informática Karpesky lanzaba un aviso muy interesante acerca de las diferentes formas de vanguardia que se estaban empleando para engañarnos y enviarnos a direcciones web maliciosas, a través de las cuales se nos podría infectar con malware o, directamente, páginas desde la que extraerse nuestros datos personales, bancarios, transacciones comerciales etc…

De entre las diversas técnicas que se están trabajando hoy en día por parte de hackers y crackers para “llevarnos voluntariamente” a esas páginas, hoy vamos a analizar, sin duda, las más complejas o técnicamente mejor trabajadas y que resultan, directamente, indetectables. Vamos… que caemos como moscas seguro, si el que está detrás de estas webs sabe lo que hace.

Cracker camuflando webs con otros alfabetos

Entrando a webs maliciosas de manera voluntaria

Pero ¿Cómo vamos a ir voluntariamente a una página web maliciosa o montada para engañarnos, espiarnos o robarnos?. Bueno, pues porque las técnicas de nomenclatura de estas webs y sus dominios nos indican que vamos a un lugar perfectamente legal e inofensivo, pero resulta que ese NO es el destino al que vamos finalmente.

¿Un ejemplo de nomenclatura de dominio bien trabajada y que nos engaña si no estamos avisados o no sabemos “leer” exactamente lo que se nos presenta?, Bien, atiende, porque sencillamente sumando la “r” con la “n” ya tenemos el engaño montado.

¿Detectaríamos algo extraño en una web cuyo dominio es de Microsoft?. No… en absoluto. Podríamos acceder redireccionados sin problemas y viendo la dirección en el enlace clickeado o en el navegado nos quedaríamos tranquilos. Pero mira cómo se falsifica microsoft con la una r minúscula y una n minúscula:

www.rnicrosoft.com

Tal como lo ves… En minúscula NO he escrito Microsoft, sino r n icrosoft… Acabas de ir directamente a una web con malware, creyendo y lo que es peor, leyendo una dirección que aparenta ser completamente inofensiva.

¿Trabajado verdad?… Pues no. Este es el más básico y chapucero de los cambios maliciosos de la nomenclatura de un dominio. Por decirlo de alguna manera, estaríamos ante un cinco pelón… Un aprobado raspado en materia de hacking o cracking.

Usando el alfabeto cirílico y hebreo para camuflar un dominio web

La seguridad de la web, perjudicada por el uso de otros alfabetos en los dominios.

Si con las letras adecuadas en el orden adecuado ya se puede lograr una confusión o engaño decente y difícil de detectar, observa lo que se puede alcanzar con el empleo de idiomas con caracteres compartidos con los idiomas occidentales (inglés, español, francés, alemán…) pero con significados distintos.

La “z”, tan inofensiva como parece, NO se corresponde siempre a la consonante que leemos y que nuestro navegador reconoce en el procesamiento de un dominio si, por ejemplo, se escribe en cirílico. Es decir, en tu navegador aparecería una dirección cuyo nombre incluiría (para tus ojos) la letra “z”, pero al haber sido denominada en cirílico, esa letra sería la transcripción fonética y gramatical del número 3. Es decir, que la dirección a la que estás siendo conducido parece un nombre compuesto sólo por letras reconocibles y legibles por ti, de manera que confías en lo que estás viendo, pero al haber sido comprado y registrado dicho dominio con nomenclatura cirílica, esa dirección web no sería lo que estás leyendo sino una con caracteres alfa-numéricos ocultos.

Ejemplo:

www.zara.com

Realmente ha sido escrito en idioma cirílico y oculta este otro dominio: www.3ara.com

Y ya estás en una web hecha sólo y exclusivamente para engañarte, robarte, espiarte o extraer tus datos o insertar software malicioso en tu equipo.

Extensiones con alfabeto hebreo

¿Qué decir de la meca de la nomenclatura fraudulenta en el underground hacker y cracker delictivo?… Señoras y señores les presento las extensiones de archivos escritos en hebreo.

¿Principal característica de esta forma de nomenclar?… Pues que se escribe de derecha a izquierda. De manera que se puede crear una extensión de archivo que, a tus ojos cuando lo vas a ejecutar es un inofensivo .PDF pero, en realidad, su extensión es FDP en nomenclatura inversa. De manera que ya tienes ahí un más que probable troyano que tú y tu propio antivirus se comerá como un archivo de texto cerrado y que es todo, menos un archivo benigno.

Hasta aquí por hoy en este pequeño viaje por las técnicas de nomenclatura de webs, dominios, subdominios y archivos ejecutables hackeadas y creadas para llevarte o instalarte cualquier cosa menos lo que crees que tienes entre manos.

Así que, hoy en día, más que nunca… Lo que tus ojos ven, no es lo que tienen delante. Mucho cuidado.

The following two tabs change content below.

Alquimista

Hackeando la vida de 8 a 14 horas. Escribo con pseudónimo porque mucho de lo que se escribe debe ser anónimo en materia de seguridad y hacking. Creo en un conocimiento libre, en un pensamiento libre, en un software libre y, en suma, en una mente libre. Década y media de experiencia en materia de hacking y seguridad informática y no informática.

Deja una Respuesta