La suplantación de sitios web es el acto de crear un sitio web , como un engaño , con la intención de engañar a los lectores de que el sitio web ha sido creado por una persona u organización diferente. Normalmente, el sitio web falso adoptará el diseño del sitio web de destino y, a veces, tiene una URL similar . [1] Un ataque más sofisticado da como resultado que un atacante cree una "copia oculta" de la World Wide Web haciendo que todo el tráfico de la víctima pase por la máquina del atacante, lo que hace que el atacante obtenga la información confidencial de la víctima. [2]
Otra técnica consiste en utilizar una URL "encubierta". [3] Al usar el reenvío de dominio o al insertar caracteres de control , la URL puede parecer genuina y ocultar la dirección real del sitio web malicioso. Punycode también se puede utilizar para este propósito. Los ataques basados en Punycode explotan caracteres similares en diferentes sistemas de escritura en fuentes comunes. Por ejemplo, en una fuente grande, la letra griega tau (τ) es similar en apariencia a la letra minúscula latina t. Sin embargo, la letra griega tau se representa en punycode como 5xa, mientras que la letra minúscula latina se representa simplemente como t, ya que está presente en el sistema ASCII. En 2017, un investigador de seguridad logró registrar el dominio xn--80ak6aa92e.com y mostrarlo en varios navegadores convencionales como apple.com. Si bien los caracteres utilizados no pertenecían a la escritura latina, debido a la fuente predeterminada en esos navegadores, el resultado final fueron caracteres no latinos que eran indistinguibles de los de la escritura latina. [4] [5]
El objetivo puede ser fraudulento, a menudo asociado con phishing o suplantación de correo electrónico , o criticar o burlarse de la persona u organismo cuyo sitio web pretende representar el sitio falsificado. Debido a que el propósito suele ser malicioso, "spoof" (una expresión cuyo significado básico es parodia inocente) es un término inadecuado para esta actividad, por lo que las organizaciones más responsables, como los departamentos gubernamentales y los bancos, tienden a evitarlo, prefiriendo descriptores más explícitos como " fraudulento "o" phishing ". [6]
Como ejemplo del uso de esta técnica para parodiar a una organización, en noviembre de 2006 se produjeron dos sitios web falsos, www.msfirefox.com y www.msfirefox.net, en los que se afirmaba que Microsoft había comprado Firefox y había lanzado "Microsoft Firefox 2007". [7]
Herramientas de prevención
Software anti-phishing
Los sitios web falsificados predominan en los esfuerzos por desarrollar software anti-phishing, aunque existen preocupaciones sobre su eficacia. La mayoría de los esfuerzos se centran en el mercado de PC, dejando sin dispositivos móviles. Puede ver en la tabla siguiente que se han realizado pocos estudios de usuarios con las herramientas actuales en el mercado. [8]
Herramienta | Medios de comunicación | Dispositivo | Tipo de contramedida | Métricas de rendimiento | ¿Estudio de usuario realizado? |
Anti-phish | Complemento de sitio web / navegador | ordenador personal | Historial de uso / coincidencia de perfiles | - | - |
BogusBiter | Complemento de sitio web / navegador | ordenador personal | Autenticación cliente-servidor | Retraso en la carga de la página | No |
Cantina + | Complemento de sitio web / navegador | ordenador personal | Aprendizaje automático / clasificación | TPR ≈ 0,92 FPR ≈ 0.040 | No |
Quero | Complemento de sitio web / navegador | ordenador personal | Minería de texto / expresiones regulares | - | - |
Itrustpage | Complemento de sitio web / navegador | ordenador personal | Perfil coincidente / lista negra | Precisión = 0,98 | sí |
SpoofGuard | Sitio web | ordenador personal | Patrón / coincidencia de perfil | TPR≈0,972, Precisión≈0,67 | No |
PhishZoo | Sitio web | ordenador personal | Patrón / coincidencia de perfil | Precisión≈0,96, FPR≈0.01 | No |
B-APT | Sitio web | ordenador personal | Aprendizaje automático/ clasificación | Retraso en la carga de la página ≈ 51.05ms, TPR≈1, FP≈0.03 | No |
PhishTester | Sitio web | ordenador personal | Patrón / coincidencia de perfil | FNR≈0.03, FPR≈0 | No |
DOM AntiPhish | Sitio web | ordenador personal | Diseño / coincidencia de perfil | FNR≈0, FPR≈0,16 | No |
GoldPhish | Sitio web | ordenador personal | Los motores de búsqueda | TPR≈0,98, FPR≈0,02 | No |
PhishNet | Sitio web | ordenador personal | Perfil coincidente / lista negra | FNR≈0.05, FPR≈0.03 | No |
PhorceField | Sitio web | ordenador personal | Autenticación cliente-servidor | Bits de seguridad perdidos por usuario = 0,2 | sí |
PassPet | Sitio web | ordenador personal | Historial de uso / coincidencia de perfiles | Seguridad y usabilidad | sí |
PhishGuard | Sitio web | ordenador personal | Autenticación cliente-servidor | - | - |
PhishAri | Red social | ordenador personal | Aprendizaje automático / clasificación | Precisión = 0,95, Recordar = 0,92 | sí |
MobiFish | Móvil | Teléfono inteligente | Diseño / coincidencia de perfil | TPR≈1 | No |
AZ-proteger | Sitio web | ordenador personal | Aprendizaje automático / clasificación | Precisión = 0,97, Recordar = 0,96 | No |
eBay AG | Complemento de sitio web / navegador | ordenador personal | Aprendizaje automático / clasificación | Precisión = 1, Recordar = 0.55 | No |
Netcraft | Complemento de sitio web / navegador | ordenador personal | Perfil coincidente / lista negra | Precisión = 0,99, Recordar = 0.86 | No |
EarthLink | Complemento de sitio web / navegador | ordenador personal | Perfil coincidente / lista negra | Precisión = 0,99, Recordar = 0.44 | No |
Filtro IE | Complemento de sitio web / navegador | ordenador personal | Perfil coincidente / lista negra | Precisión = 1, Recordar = 0,75 | No |
FirePhish | Complemento de sitio web / navegador | ordenador personal | Perfil coincidente / lista negra | Precisión = 1, Recordar = 0,77 | No |
Sitehound | Complemento de sitio web / navegador | ordenador personal | Perfil coincidente / lista negra | Precisión = 1, Recordar = 0.23 | No |
Filtrado de DNS
El DNS es la capa en la que las botnets controlan los drones. En 2006, OpenDNS comenzó a ofrecer un servicio gratuito para evitar que los usuarios ingresen a sitios web de suplantación de identidad. Esencialmente, OpenDNS ha reunido una gran base de datos de varias organizaciones anti-phishing y anti-botnet, así como sus propios datos para compilar una lista de infractores conocidos de suplantación de sitios web. Cuando un usuario intenta acceder a uno de estos sitios web maliciosos, se bloquea a nivel de DNS . Las estadísticas de APWG muestran que la mayoría de los ataques de phishing utilizan URL, no nombres de dominio, por lo que habría una gran cantidad de falsificaciones de sitios web que OpenDNS no podría rastrear. En el momento de la publicación, OpenDNS no puede evitar los ataques de phishing sin nombre que se encuentran en Yahoo, Google, etc. [9]
Ver también
- Suplantación de correo electrónico : creación de mensajes de correo electrónico no deseado o de suplantación de identidad con una identidad o dirección de remitente falsificada
- Sitio web de noticias falsas: sitio web que publica deliberadamente engaños y desinformación que pretenden ser noticias reales.
- Suplantación de identidad de inicio de sesión : técnicas utilizadas para robar la contraseña de un usuario
- Phishing : acto de intentar adquirir información confidencial haciéndose pasar por una entidad confiable
- Ataque de suplantación : ciberataque en el que una persona o un programa se hace pasar por otro falsificando datos.
- Suplantación de referencias : práctica en redes HTTP de envío intencional de información de referencia incorrecta
Referencias
- ^ "El sitio web falso permanecerá en línea" , BBC News, 29 de julio de 2004
- ^ http://www.cs.princeton.edu/sip/pub/spoofing.pdf
- ^ Tecnología anti-phishing " Archivado 2007-09-27 en Wayback Machine , Aaron Emigh, Radix Labs, 19 de enero de 2005
- ^ https://www.theregister.com/AMP/2017/04/18/homograph_attack_again/
- ^ https://www.engadget.com/amp/2017-04-17-google-chrome-phishing-unicode-flaw.html
- ^ Consulte, por ejemplo, [1] o [2]
- ^ "Los sitios falsos insisten en que Microsoft compró Firefox" , Gregg Keizer, InformationWeek , 9 de noviembre de 2006
- ^ a b "Entornos, técnicas y contramedidas de phishing: una encuesta". Computadoras y seguridad . 68 (4): 280. Julio de 2017. doi : 10.1016 / s0167-4048 (04) 00129-4 . ISSN 0167-4048 .
- ^ "Lectura oscura | Seguridad | Proteja el negocio - Habilite el acceso" . Lectura oscura . Consultado el 29 de junio de 2018 .