Más del 80% de todas las posibles variantes de un solo carácter de los dominios de Facebook, Google y Apple están ya registrados redirigen a sitios de Typosquatting.
Tenemos que reconocerlo, a muchos de nosotros nos ha pasado que mientras que escribimos una dirección web se nos resbala una tecla, se nos olvida una letra o pulsamos otra por error.
Es un error muy típico, pues bien, como suele pasar en Internet hay gente esperando “sacar tajada” de nuestro error.
Mi compañero y experto en seguridad Paul Ducklin ha querido mirar un poco más en profundidad este tipo de amenaza llamada Typosquatting.
Para la realización de este estudio, Sophos observó los typosquatting en su propia web, así como, en las de Facebook, Google, Twitter, Microsoft y Apple. Como primera medida se analizó los sitios web registrados para todos y cada uno, cometiendo errores tipográficos con el nombre de la empresa: una letra omitida (por ejemplo, Sopos), una letra mal escrita (Sphos), o una letra añadida (Ssophos).
Los resultados del estudio revelaron que existe un significativo ecosistema de typosquatting de alto perfil en torno a los nombres de dominio que se escriben frecuentemente.
De hecho, la industria typosquatting es tan grande que más del 80% de todas las posibles variantes de un solo carácter de los dominios de Facebook, Google y Apple están ya registrados y resueltos. Así, un apabullante 86% de los posibles errores tipográficos de escribir mal una letra en la página principal de Apple llevó a sitios de typosquatting. A la empresa de la manzana le siguen Google (83%), Facebook (81%), Twitter (74%), Microsoft (61%) Sophos, cierra esta clasificación con un 16%.
Es tan fácil escribir mal una URL, y es inevitable que de vez en cuando los usuarios acaben en un sitio web no deseado. En el peor de los casos, un descuido puede llevar a sitios web criminales diseñados para robar su identidad o hacer phishing sobre sus credenciales.
Principal objetivo: el lucro a costa de los errores humanos
En cuanto a las páginas a las que dirigen, Sophos Lab expone que la mayor proporción de los sitios squatting no redirige a otros peligrosos de entrada, de hecho, en la investigación sólo se pudo observar una página web que contuviese directamente un JavaScript malicioso. En este sentido, un 15% de los mismos llevó a sitios de publicidad. Un 12% resultaron ser páginas de alojamiento de dominios-
De las 14.495 direcciones URL mal escritas, según el estudio, 738 (5,1%) fueron clasificados por Sophos como sitios de ciberdelincuencia o de contenido para adultos. A este respecto, el primero debería ser siempre bloqueado, mientras que, el segundo, también, por lo menos en el lugar de trabajo o cerca de los niños.
Estados Unidos encabeza la lista, alojando cerca de dos tercios de los servidores, Alemania, China y el Reino Unido le siguen en la clasificación, respectivamente. Las Islas Vírgenes Británicas (con una población de aproximadamente 30.000) y las Islas Caimán (60.000), centros financieros de offshore, se encuentran también dentro de la lista de los 12 países.
En total, dos tercios de los 2.249 posibles dominios typosquat analizados (1502 en total) se resolvió mediante el uso de DNS. Así, con scripts automáticos escritos con una combinación de Bash, Python, Lua y Applescript – ésta última, una herramienta muy válida para el control de aplicaciones OS X – el equipo de investigación de Sophos buscó cada sitio en Safari, exactamente como si un usuario hubiese escrito el nombre de dominio completo en el la barra de direcciones.
Si quieres leer al artículo completo (en inglés):
“Typosquatting – what happens when you mistype a website name?”
Muy interesante el post Pablo
. Pensaba que el porcentaje de esas web que serían maliciosas sería mayor.
Ahora, ¿medidas de protección para los usuarios?, ¿los analizadores de URL alertan de ellas?, ¿tener las principales páginas en favoritos?…
PD: para suscribirme al RSS he tenido que tirar del código fuente, no facilita mucho las cosas
Saludos
Muchas gracias Manuel, la verdad es que fue sorprendente ver el porcentage de malware, aunque para mi las de adware deberían sumarse a ese porcentage.
Medias de proteccion? efectivamente tener las paginas en favortios puede ayudar, a nivel corporativo por supuesto se deberia contar con proteccion web actualizada, la pregunta sobre analizadores URL yo la formularia de otra forma, ¿es mi analizador de URL una herramienta valida sino me protege contra este tipo de atauqes?
Ya que preguntas pues haré un poco de publi! Los appliances de Sophos: Web Protection por supuesto alertan y/o bloquean estas amenazas!
Un saludo,
PS: Siento lo del RSS le echo un vistazo e intento arreglarlo!! sino pueden hacerte fan del facebook! lo acabo de estrenar!! https://www.facebook.com/SophosSeguridadIT
Si el adware deja las condiciones de uso claras no le veo mayor problema, es el usuario el que acepta que se le muestre publicidad. De hecho, no se me ocurre mejor ejemplo de adware que Facebook ;P
Si, la pregunta iba por ahí, si los appliance y analizadores de URL bloquean/alertan sobre estos casos de Typosquatting aunque la página no sea relamente maliciosa. Obviamente los maliciosos si deberían bloquearlos.
Mejor RSS que Facebook para este fin!
Saludos
Hola Manuel! solucionado el tema RSS! seguimos trabajando para mejorar el blog!
un saludo,