Hace ya unas semanas supimos (EN) en CyberBrainers de la existencia de una campaña de phishing que intentaba hacerse pasar por el navegador Brave, para por supuesto instalar un malware que toma el control de lo que hagamos a nivel de navegación, y roba los datos de acceso a nuestras cuentas. Hablamos sobre los ataques basados en homografía.
En sí, el ataque no utiliza ninguna técnica novedosa, pero tiene dos puntos que me han parecido interesantes para comentar por estos lares.
TLS válido y punycode como gancho para usurpar la identidad
Lo primero que hay que dejar claro es que las víctimas llegaban a una web que parecía en diseño y contenido ser la de Brave.com, es decir, la del navegador real.
El único problema es que el dominio no era exactamente Brave.com, sino Bravė.com.
Es decir, que los cibercriminales aprovecharon la nomeclatura punycode (una representación limitada del Unicode típico que todos utilizamos en occidente para escribir, y enfocada a los nombres de host de internet) para contratar el dominio xn – brav-yva .com, que a ojos de cualquier interfaz web, la víctima ve como Bravė.com.
Si te fijas, esa «ė» no es la «e» de Brave, sino en ASCII, otro carácter totalmente distinto.
Por tanto, aunque el dominio parecía ser el original, a efectos prácticos la víctima estaba entrando en otra web distinta.
Y esto se agrava con el hecho de que el SSL de la página no mostraba nada de «página no segura», sino que estaba activo y mostraba el candadito cerrado.
Algo de lo que llevamos literalmente años alertando: El que una web tenga SSL no significa que sea segura, sino que es privada (tus datos se envían de forma cifrada a los servidores de la web). O, dicho de otro modo, en este caso las víctimas estaban enviando de manera cifrada y privada datos al servidor. El único problema es que el servidor no era el de Brave.com, sino el de los cibercriminales.
Que SSL no implica legitimidad (estar o no en la página oficial), sino simplemente privacidad.
Google Ads como plataforma de distribución
Para rizar un poco más el rizo, los cibercriminales inyectaban tráfico mediante campañas de pago en Google Ads lanzadas desde el dominio mckelveytees.com, una web de ropa que seguramente ha sido comprometida previamente.
A ojos de Google, la campaña era legítima (es este dominio quien está lanzando la campaña), pero al intentar entrar, la víctima era redirigida mediante un subdominio al dominio final, anteriormente citado, para que se descargase el malware.
Un ejemplo más de que, por que lo veamos en un anuncio, esto no supone que, de facto, lo que ofrezcan no sea un timo.
Pasa en Instagram Ads, como ya explicamos en su día, en Facebook Ads, en Google Ads, y en definitiva en cualquier servicio publicitario.
Junta lo anterior (SSL válido y dominio homográfico), con esto, y tienes el germen de una campaña de phishing muy exitosa.
Una que hasta podría engañar a cualquiera de los que nos dedicamos a esto.
En CyberBrainers ayudamos a empresas y usuarios a prevenir, monitorizar y minimizar los daños de un ataque informático o una crisis reputacional. Si estás en esta situación, o si quieres evitar estarlo el día de mañana, escríbenos y te preparamos una serie de acciones para remediarlo.
Monitorización y escucha activa
Ponemos nuestras máquinas a escuchar para identificar potenciales fugas de información, campañas de fraude/extorsión y usurpación de identidad que estén en activo, y/o datos expuestos de ti o de tu organización.
Planes de autoridad y Presencia Digital
Ayudamos a organizaciones y particulares a definir la estrategia e implementar acciones digitales que mitiguen los posibles daños reputacionales que pueda sufrir en el futuro.
Gestión de crisis reputacionales
Cuando el mal ya está hecho, establecemos un calendario de acciones para reducir su duración e impacto, y que la organización y/o persona pueda volver a la normalidad lo antes posible.
Pablo F. Iglesias es el fundador de CyberBrainers, consultora especializada en blindaje reputacional, construcción de autoridad digital y asesoramiento a víctimas de fraude online, de EliminamosContenido, el servicio de desindexación y eliminación de contenido dañino en Internet, y del sello editorial Ediciones PY.
Speaker internacional, Experto en ayudar a referentes digitales, influencers y marcas personales a diversificar su presencia y construir reputaciones inquebrantables. Especialista en transformar la presencia online de referentes a través de estrategias de diversificación digital, posicionamiento SEO, apariciones en medios y blindaje preventivo ante crisis reputacionales.
Reconocido divulgador en Seguridad TIC, ganador de varios premios ESET, Bitácoras y Red Seguridad a la divulgación en Ciberseguridad, colaborador habitual en varios programas de televisión, radio y periódicos, y representante del emprendimiento español en Silicon Valley.
Autor de seis libros y host del videopodcast enCLAVE DIGITAL.
Actualmente asesora a grandes patrimonios y a víctimas de fraudes online, demostrando con hechos su filosofía de diversificación y gestión de riesgo.
