Todos hemos oído hablar de los lookalike domains y tal vez más de una organización haya caído en ellos. Estos dominios de Internet, con una denominación y aspecto muy parecidos al dominio legítimo, son usados por los ciberdelincuentes para engañar a los usuarios, redirigiéndole a sitios maliciosos para llevar a cabo ataques masivos, no específicos, utilizando diferentes vectores de ataque como spam de correo electrónico, banners publicitarios, redes sociales y mensajes SMS. ¿Su finalidad? Obtener credenciales, datos personales y financieros de las víctimas, aunque también pretenden infectar las máquinas con malware (ataques C2, command and control) para acceder a redes corporativas y hacerse con el control de sistemas.
Infoblox, compañía especializada en plataformas de red y seguridad cloud native, que simplifican la gestión segura de servicios core de red, ha elaborado un informe en el que ha analizado más de 300.000 lookalike domains desde enero de 2022 a marzo de 2023, alertando de sus riesgos.
Según el informe, su grado de sofisticación sigue aumentando. Ya no se conforman con imitar el aspecto de los dominios legítimos, también incluyen sistemas de autenticación multifactor (MFA) del dominio plagiado, para hacer pensar al usuario que la conexión es segura.
Los atacantes tienen la ventaja de la escala y que las técnicas para identificar la actividad maliciosa van siempre un paso por detrás.
Del estudio también se desprende que los dominios plagiados no pertenecen solo a grandes organizaciones. Dominios de todo tipo de empresas y pequeños negocios también son su objetivo potencial, como restaurantes o bufetes de abogados, por poner algunos ejemplos.
¿Cómo actúan? A través de mensajes SMS, llamadas telefónicas con las que indican al usuario un dominio malicioso fraudulento, el spam o los códigos QR.
Y entre las técnicas que usan para la creación de nombres de dominio similares, Infoblox destaca los homógrafos: dominio en los que sólo varía algún carácter. Typosquats, aprovechando los errores del usuario al introducir por el teclado el nombre del sitio. Combosquats: combinando el nombre de un dominio muy conocido con otras palabras clave. Los Soundsquats: utilizando nombres de dominio que aunque no se escriban igual se pronuncien igual. Todo ello junto al uso de sites fraudulentos.