Categorías
Ciberseguridad

Evita el phishing: controla el enlace y domina el dominio

Ya sabéis, o deberíais saber, que es el phishing.  Os voy a proporcionar información sobre el mismo y la completaré con un consejo que creo que no se ha explicado y expuesto en profundidad y que es, desde mi punto de vista, quizás el más importante. El objetivo principal del phishing es conseguir que se haga click en un enlace que conduce a una página web falsificada y fraudulenta que no es la que usuario cree que es … Phishing es un término en inglés que se origina de la palabra homófona fishing que significa pescar: el ciberdelincuente con ese “anzuelo”, que es esa web falsa pretende que el usuario introduzca voluntariamente sus datos (para apropiarse de ellos) o que voluntariamente descargue un archivo (para introducir malware en el equipo de la víctima).

Para que el usuario acceda a esa web ilegítima ha clicar en un enlace y puede que esté acortado y no se sepa a qué url le dirigirá o simplemente le ofrece una dirección creada para engañarle con un dominio parecido o similar para que no sospeche el incauto internauta … ¿Qué es un enlace? ¿qué es un dominio? ¿cómo puedo confiar en uno y en otro? ¿cómo puedo analizar y estar seguro de un enlace o un dominio?

Antes de enseñaros a controlar los enlaces y a “dominar los dominios” os proporciono información esencial sobre el phising

https://www.incibe.es/aprendeciberseguridad/phishing

https://www.osi.es/es/banca-electronica

https://www.osi.es/es/actualidad/blog/2016/05/24/el-phishing-version-grafica

Recordad siempre acudir a www.incibe.es y a www.osi.es y no dudéis en llamar al teléfono gratuito 017 de INCIBE.

Qué es un enlace y un enlace acortado

Enlazar una página a otra es el fundamento base y primordial en que se basa la estructura de Internet: una página te lleva a otra. El lenguaje básico en Internet, HTML (HyperText Markup Language, Lenguaje de Marcas de Hipertexto) define el significado y la estructura del contenido web (complementado con otras tecnologías para la apariencia y presentación del contenido (CSS, JavaScript, etc). El hipertexto hace referencia a los enlaces: la forma de comunicar que une dos sitios. Ya son muy conocidos …

¿Y si lo acortamos? Los enlaces, que contienen la dirección de la página web, pueden ser largos y hay servicios que los acortan. Al reducirlos ahorran espacio, para emplearlos por ejemplo en redes sociales o para enviarlos por correo electrónico, sin embargo, al reducir los caracteres que emplean, ya no se ve claramente hacia a dónde apuntan o hacia dónde nos van a dirigir.

Ejemplo de enlace acortado (comprueba que son los mismos enlaces):

https://www.osi.es/sites/default/files/docs/c14-pdf-infografia-identificar_phishing.pdf

https://bit.ly/3y6Qu2I

CONSEJO BÁSICO:

Sitúa el cursor encima del enlace, o mantén presionado el enlace en dispositivos móviles, se verá así la URL real a la que redirige.

Bien, ya sabemos a dónde nos quieren llevar … Se recomienda también que solamente se entren en páginas https:// que se distinguen porque tiene un candado al lado de la dirección web:

Protocolo seguro https://

Disponer de un certificado SSL (Secure Sockets Layer, capa de sockets seguros) que es un protocolo para navegadores y servidores web que permite autenticar, cifrar y descifrar la información enviada a través de Internet, es un indicio de que la página puede ser segura, pero hay que ir un poco más allá, pues se puede sacar un certificado SSL gratuito y un dominio gratuito y alojarlos en cualquier servidor de cualquier sitio del planeta y luego abandonar uno y otro tras realizar un ciberataque o un ciberengaño.

Por ello, considero necesaria una estrategia más: MIRA, ANALIZA Y DECIDE

Primero: MIRA el enlace completo. Ya sabemos cómo. Segundo: ANALIZA el enlace (ahora te explicaré cómo) y tercero: DECIDE hacer click o no hacer click, esa es la shakesperiana decisión …

Para analizar un enlace debemos saber qué contiene una dirección web (que aparecen en la parte superior del navegador) Una dirección web o URL (Uniform Resource Locator, Localizador de Recursos Uniforme) es la forma de denominar un recurso único ubicado en la Web (en Internet vamos …) y se compone de

  • Protocolo,
  • Puerto (opcional)
  • Dominio,
  • Ruta o trayectoria del recurso,
  • Parámetros, y
  • Ancla (opcional).

Protocolo: Es la primera parte e indica al navegador que estemos usando (nuestro Firefox, Chrome, Edge, etc) el método para intercambiar o transferir datos. Por ejemplo: http://  (Hipertext Transfer Protocol, protocolo de transferencia de hipertexto) que realiza una petición de datos y recursos a un servidor para que el cliente (nuestro navegador) lo reciba. Es la tecnología y la estructura cliente – servidor. La versión securizada es https:// (HyperText Transfer Protocol Secure, Protocolo seguro de transferencia de hipertexto) protegido con una capa de seguridad en el transporte, que ya hemos mencionado antes. También existe el protoclo  ftp:// (File Transfer Protocol, protocolo de transferencia de archivos) para enviar o descargar archivos. Estos protocolos se delimitan con barras inclinadas “//”

Puerto: También puede aparecer un puerto, por ejemplo :80 o :443 que indica la “puerta” técnica utilizada para acceder a los recursos en el servidor web (por lo general se omiten)

Dominio:  lo vamos a analizar más adelante y conocerlo es el quiz y lo esencial para comprobar que la dirección es legítima. El dominio es el nombre elegido para el sitio web (más correctamente el nombre asignado a su IP). Por ejemplo: amazon.es

Ruta o trayectoria: puede aparecer por ejemplo /path/to/myfile.html que es la ruta o trayectoria al recurso en el servidor web, que es una página en concreto entre varias, y es la que se muestra.

Parámetros: También pueden aparecer parámetros, por ejemplo  ?key1=value1&key2=value2 que se inician con un símbolo de interrogación ? y son una lista de claves y valores separados con el símbolo & para que el servidor “haga cosas adicionales” antes de devolver el recurso solicitado por el cliente (mostrar una opción u otra).

Ancla: Por último, también puede aparecer un ancla (anchor) que comienza con el símbolo # y que simplemente es un marcador dentro del recurso para mostrar la página a partir de ahí.

Aquí un ejemplo de una dirección completa (no son enlaces operativos):

https://www.ejemplo.com:80/path/to/mifichero.html?key1=value1&key2=value2#AlgunSitioEnElDocumento

u otra más habitual:

https://www.amazon.es/gp/product/B08847TLTS/ref=p_ title_1?ie=UTF8&psc=1

El dominio es lo que hay que dominar

Nos fijaremos en la segunda parte, el dominio, algo que hay que dominar para que no nos den gato por liebre …

El dominio se compone de una serie de cadena de caracteres alfanuméricos que se utilizan para hacer referencia al sitio web. Se compone de niveles que están separados por un punto “.” Se clasifican de derecha a izquierda como:

  • Top level domain (TLD, dominio de nivel superior): por ejemplo .com
  • Second level domain (SLD, dominio de segundo nivel): por ejemplo .mitienda
  • Third leven domain (dominio de tercer nivel): por ejemplo www.

En orden: www.mitienda.com

El TLD, también denominado extensión o terminación del dominio, es la parte final y nos indica la naturaleza del mismo. Pueden ser genéricos (gTLD: generic Top Level Domain, dominio de nivel superior genérico) y se caracterizan por tener tres o más letras. El más genérico y común es el .com (comercial) y hay otros más específicos que son los pensados para uso exclusivo de alguna entidad, por ejemplo .org (organización) o .info (información). También pueden ser territoriales – por países –  (ccTLD: country code Top Level Domanin, dominio de nivel superior por código de país) así para España es .es para Francia .fr o para Alemania .de

A veces no se utiliza el dominio de tercer nivel (las “www”) y también algunas veces se emplean SUBDOMINIOS en el segundo nivel, separados por un “.” Por ejemplo: https://www.afiliados.asociacion.org/ o https://www.salud.clinicaX.com/ o https://www.ropa.mitienda.es/

Son los subdominios los que se pueden utilizar para crear confusión y engaño y ahora veremos porqué.

¿Es lo mismo www.ropa.amazon.es que www.amazon.ropa.es?

Mira y analiza ¿cuál es el dominio en ambas direcciones? En la primera es amazon.es (estamos en el sitio de amazon) y en la segunda ropa.es (estamos en el sitio del que lo haya registrado), en esto es lo que has de fijarte siempre. Los subdominios pueden ser muchos y aleatorios, podrían ser www.empresa.amazon.es www.oferta.amazon.es www.pyme.amazon.es y siempre estaríamos en el dominio de amazon.

Fíjate lo fácil que puede ser utilizar todo esto para una plataforma de phishing …

Primero busco un dominio que esté libre, puede ser www.oferta-empresa.es

Dominio libre …

O este de www.actualizasoftware.es

Oro dominio libre …

Incluso el primer año me salen gratis … los alojo en cualquier servidor de cualquier parte del mundo y creo subdominios, por ejemplo www.amazon.oferta-empresa.es o www.android.actualizasoftware.es ¿a qué parecen legítimos y auténticos de Amazon y Android? Mira y analiza:

Este es legítimo y pertenecería al dominio de Amazon:

Dominio válido y legítimo

Pero este otro es fraudulento y no pertenecería al dominio de Amazon sino al dominio gratuito oferta-empresa.es:

Dominio fraudulento

Ah, y no olvides comprobar que el certificado SSL (el que otorga la seguridad al protocolo http: y lo convierte en https:) está otorgado al dominio que corresponde. Simplemente dale doble click al candado verde y verifica a quién corresponde el certificado SSL:

Comprueba el titular del certificado SSL

Recuerda con esta infografía de www.osi.es (la oficina de seguridad del internauta) todo lo relativo al phishing y si emplean un enlace recuerda MIRAR, ANALIZAR y DECIDIR: domina el dominio para evitar que te engañen o que capturen tus datos …