volvervolver
Inteligencia artificial en Ciberseguridad

POR:
IDi Team

COMPARTIR

GENERAL 23 Jan 24  •  76' LECTURA

Un clásico de la Ingeniería Social: Dominios Homográficos

La astucia y creatividad han caracterizado algunos de los ciberataques de los últimos tiempos, y cuando de Ingeniería Social se trata, el adversario hará lo que sea necesario para hacer creer a nuestros usuarios que están en un sitio seguro, aunque en realidad estén en terreno enemigo.

Dentro de este enfoque encontramos los dominios homográficos y la sorpresa aparece cuando vemos por primera vez que gοogle[.]com no es google[.]com

Dominios Homogràficos

Los dominios homogràficos son aquellos que se parecen visualmente a dominios legítimos, pero no son el mismo, sino uno controlado por un tercero(apple[.]com se parece a aple[.]com). Esta técnica permite a los atacantes ofrecer una “historia” basada en esos dominios a los que intentan falsear.

Esta técnica es específicamente vista en ataques de phishing, los atacantes registran nombres de dominio similares a servicios reales utilizados por las organizaciones y en estos almacenan típicamente malware, scripts, redirecciones o simplemente formularios para recolectar datos.

Dentro de los tipos de dominios homogràficos encontramos aquellos que hacen uso de caracteres de distintas codificaciones de alfabetos. Para entenderlo con claridad, aquí les compartimos una lista de letras de diferentes alfabetos que visualmente se parecen a las vocales (A, E, I, O, U), junto con el alfabeto al que pertenecen:

a (Romano / Latino)
 • а (Cirílico) - Usado en ruso, búlgaro, y otros idiomas eslavos.
 • α (Griego) - Letra alfa.

e (Romano / Latino)
 • е (Cirílico) - Usado en ruso y otros idiomas eslavos.
 • ε (Griego) - Letra épsilon.

i (Romano / Latino)
 • ι (Griego) - Letra iota.
 • і (Cirílico) - Usado en bielorruso y ucraniano.
 • ı (Turco) - i sin punto, distinta de la "i" con punto.

o (Romano / Latino)
 • о (Cirílico) - Usado en ruso, búlgaro y otros idiomas eslavos.
 • ο (Griego) - Letra ómicron.

u (Romano / Latino)
 • υ (Griego) - Letra ípsilon.
 • у (Cirílico) - Usado en ruso y otros idiomas eslavos.

La similitud visual de estas letras es una de las razones por la que se utilizan en los dominios homográficos, fácilmente engañarían hasta al ojo experto.

Por ejemplo, un atacante entonces podría registrar un dominio que use un carácter cirílico, como "а" (letra cirílica) en lugar de "a" (letra romano/latina). En una simple vista, el dominio podría parecer legítimo, pero en realidad es un registro distinto.

аpple[.]com


Caso y Respuesta

Un correo de phishing entonces podría incluir estos dominios especialmente formados y registrados para lograr hospedar una carga maliciosa.


Dominio homografico decodificado por cliente de correo online

El texto visible en el cuerpo del correo sigue siendo (como siempre) una serie de caracteres que nada podría tener que ver con el link que por detrás se encuentre. Los navegadores ya hace tiempo han optado por arrojar algo de luz sobre estas actividades, a través de una codificación especial llamada “punnycode”. Esta permite que los caracteres sean convertidos a ASCII en donde contamos con un conjunto de caracteres restringido.

Esto ha resultado una gran victoria ya que como usuarios, podemos volver a confiar en ese pequeño popup. Los servicios de correo online incluso al abrir estos sitios.


Codificación ASCII resuelta por dos navegadores diferentes

Nuestra victoria no es duradera (casi nunca suele serlo), al notar que solo los clientes de correo web realizan esta decodificación para nuestros usuarios. No así los clientes instalados en las estaciones de trabajo.


Dominio homografico no decodificado por cliente de correo instalado localmente

Y aquí es donde comienza una travesía para reconocer que software de la organización podría ser “vulnerable” a esta función, ¿Aplicaciones de ofimática? ¿Nuestros sistemas de gestión? ¿Móviles?

Podremos partir entonces de nuestro inventario de activos (aquel que siempre tenemos actualizado) para desarrollar medidas y estrategias que nos permitan proteger los sistemas.

Para cerrar

Como profesionales en el campo, sabemos que en ocasiones la mejor defensa es una buena ofensiva: educar y concientizar será nuestra primera parada. Sumergirse en el mundo de los dominios homográficos no solo añade una capa más a nuestra armadura digital, sino que también nos da una perspectiva más clara de las tácticas que emplean los adversarios alrededor de la ingeniería social. Al final del día, la concientización puede ser tan crucial como cualquier herramienta sofisticada en nuestro arsenal, aunque no deja de ser una protección más en nuestra estrategia.