Guillermo A. Mata
La red Websense® ThreatSeeker® descubrió un enjambre de typosquat (URL mal digitado) que alberga a cientos de servidores que apuntan a marcas conocidas. Este enjambre se mueve constantemente para evitar ser detectado. Se está abusando de un gran número de marcas populares – ¿Puede identificar la diferencia entre estos URLs fraudulentos y los reales?
Al realizar un análisis más a fondo descubrimos una conexión entre estos servidores:
- La mayoría de ellos están hospedados en la misma dirección IP: 208.73.210.128.
- Llevan a sitios de encuestas fraudulentos y de spam.
- Tratan de evadir la detección y mantienen un bajo perfil al cambiar periódicamente el envío de amenazas y presentar páginas predeterminadas sin amenazas.
“Los usuarios están ocupados y pueden escribir incorrectamente cuando navegan por Internet. Y eso es exactamente lo que los cibercriminales aprovechan cuando aplican el typosquat a los dominios populares. Websense Security Labs descubrió un ‘enjambre de typosquat’ de cientos de servidores que llevan a sitios web y encuestas fraudulentas que solicitan información personal y detalles de tarjetas de crédito. Fraudes como estos abren la puerta al malware y sin defensas de seguridad desplegadas se podría dar vía libre a las compañías hacia la pérdida de datos”, indicó Carl Leonard, Gerente de Investigación de Seguridad de Websense.
Permítanos poner un ejemplo de estos servidores para ilustrar cómo una víctima puede ser llevada de un typosquat de este enjambre a un sitio fraudulento. Por ejemplo escribir hxxp://youtibe.com/ lleva al usuario al sitio fraudulento hxxp://socialsurvey.chattycatty.com/.
Múltiples solicitudes al mismo servidor llevan a diferentes páginas de inicio incluyendo encuestas, formularios para ser llenados y sitios de spam. En un ejemplo (ver la pantalla de abajo) los usuarios son atraídos y redirigidos a un sitio parecido a “Youtube” para completar una encuesta que asegura que al responderla tendrán la oportunidad de recibir uno de los regalos de la lista:
Después de responder a la “encuesta” se le ofrece la opción de contratar un servicio de suscripción mensual pagado y que se renueva automáticamente con un regalo tentador adicional a un bajo precio. Entonces se le pide al usuario proporcionar los detalles de su tarjeta de crédito. La trampa está en la sección de “términos y condiciones” donde evidentemente se asegura que el regalo es responsabilidad de un tercero y que no se permite el reembolso de la suscripción.
Por suerte Websense protege a sus usuarios contra dichas amenazas con Websense ACE (Advanced Classification Engine).
