What is Domain Spoofing?

Domain spoofing is a form of phishing where an attacker impersonates a known business or person to fool people into the trusting the content in an email or on a website. Typically, the domain appears to be legitimate at first glance, but a closer look will reveal that a W is actually two Vs, or a lowercase L is actually a capital I. Users responding to the message or interacting with the site are tricked into revealing sensitive information, sending money, or clicking on malicious links.

How Domain Spoofing Attacks Work

An email spoofing attack may work like any spam, phishing, or spear phishing attack, in which an attacker spams people at random or targets users in an industry or corporation with fake messages that contain malicious links or lure users to poisoned websites. The false websites are themselves examples of domain spoofing, so it’s not unusual to see email spoofing and domain spoofing used in tandem. Or a spoofing attack may be part of a larger attack, such as a DDoS attack, in which attackers use spoofed IP addresses to flood a targeted website or server until its resources are exhausted and it slows down or crashes. IP spoofing is used in man-in-the-middle attacks that interrupt communications between two devices. Criminals change the packets and send them to the intended recipients, who will not recognize that they’ve been altered. After that, the attacker can intercept communications and use the information they collect to commit frauds like identity theft, IP theft, etc. IP spoofing can also be used to mask botnet devices. In a botnet attack, the adversary takes control of other people’s computers in order to use stolen computing power to conduct repetitive automated tasks. IP spoofing can be used to cloak botnets and use their connections for malicious purposes such as phishing or running DDoS attacks.

¿Qué es la suplantación de dominios?

¿Has sufrido una brecha de seguridad?

La suplantación de dominios es una forma de phishing en la que un ciberdelincuente suplanta la identidad de una persona o empresa conocida con un sitio web o dominio de correo electrónico falso para engañar a las personas y ganarse su confianza. Normalmente, el dominio parece legítimo a simple vista, pero una inspección más exhaustiva revelará que una W es en realidad dos V, o bien que una L minúscula es en realidad una I mayúscula. Se engaña a los usuarios que responden al mensaje o interactúan con el sitio para que revelen información confidencial, envíen dinero o hagan clic en enlaces maliciosos.

Además de estafar a los usuarios, la suplantación también causa otros problemas:

La suplantación puede utilizarse para distribuir malware y realizar otros tipos de ataques, como ataques de denegación de servicio distribuido (DDoS) y ataques de intermediario.

Los ataques pueden emplear suplantación para ocultar las identidades de los perpetradores ante las autoridades y otras personas.

Los ciberdelincuentes pueden redirigir a los usuarios a sitios no deseados para recaudar dinero mediante publicidad, o bien engañar a los anunciantes para que pujen por colocar sus anuncios en sitios no deseados.

Es posible que las redes objetivo no sean conscientes de que son víctimas de un ataque, por lo que no envían alertas.

Las direcciones IP falsificadas parecen legítimas, por lo que pueden evitar la inclusión en las listas negras de firewalls y demás controles de seguridad.

¿Cuáles son los principales tipos de suplantación de dominios?

1. Suplantación de correos

Los ciberdelincuentes envían correos electrónicos que parecen provenir de un remitente conocido, como un amigo, una empresa o una agencia gubernamental. Los correos electrónicos fraudulentos pueden contener una descarga o un enlace malicioso, atraer al destinatario a un sitio web infectado o redirigirle a un sitio web que no deseaba visitar.

2. Suplantación de sitios web

Los ciberdelincuentes registran un dominio similar a otro legítimo. Pueden usarlo para crear un sitio que replique al sitio legítimo y enviar correos electrónicos fraudulentos para atraer a sus víctimas. Una vez en el sitio falsificado, a los usuarios se les pueden ofrecer descargas maliciosas o se les puede solicitar que proporcionen su información personal, como credenciales de inicio de sesión o datos bancarios. Los sitios web falsificados también pueden emplearse para cometer fraude publicitario. El estafador envía el dominio falso a un Ad Exchange (marketplace de espacios publicitarios) para engañar a los anunciantes para que pujen por publicitarse en el sitio falsificado en lugar del sitio legítimo.

3. Envenenamiento de DNS

El envenenamiento de DNS es una forma de suplantación de IP que es más difícil de detectar. En el envenenamiento de DNS, los usuarios que intentan acceder a un sitio se ven redirigidos a otro. Por ejemplo, para prevenir que los ciudadanos chinos visiten sitios censurados, el "Gran Cortafuegos" del Gobierno chino redirige a los usuarios desde los sitios censurados hacia sitios legítimos de varios tipos. La afluencia inesperada de tráfico hacia estos sitios legítimos puede provocar fallos y, por eso, cuando se usa de este modo, el envenenamiento de DNS se convierte en un ataque DDoS.

Cómo funcionan los ataques de suplantación de dominios

Un ataque de suplantación de correo electrónico puede funcionar como cualquier ataque de spam, phishing o phishing selectivo (spear phishing), en el que un ciberdelincuente envía spam a personas al azar o se centra en usuarios de un sector o una corporación determinados, con mensajes falsos que contienen enlaces maliciosos o atraen a los usuarios a sitios web envenenados. Los sitios web falsos son en sí mismos ejemplos de suplantaciones de dominios, por lo que no es inusual ver estas dos tácticas (suplantación de correos y de dominios) empleadas en conjunto.

Un ataque de suplantación de dominios también puede formar parte de otro ataque a mayor escala, como un ataque de denegación de servicio distribuido (DDoS), en el que los ciberdelincuentes usan direcciones IP falsificadas hasta inundar un sitio o servidor web de modo que se agoten sus recursos y se ralentice o se bloquee.

Consejos para detectar un dominio falsificado

Revisa el dominio, podría contener letras o números adicionales. Sobre todo, fíjate en si contiene caracteres que se confundan fácilmente con otros, como la L minúscula y la I mayúscula.

Verifica la información del encabezado del correo. Consulta los campos "Recibido de" y "Recibido-SPF" (Sender Policy Framework o Convenio de remitentes). Si los dominios que aparecen en esos campos no coinciden con lo que sabes del supuesto remitente, el correo electrónico es falso. A veces, los datos mostrados en estos campos serán una dirección IP. Compruébalo realizando una búsqueda de identidad en un sitio legítimo, como ICANN, Domain Tools o GoDaddy, introduciendo la IP. Si los resultados no son los esperados (por ejemplo, si el dominio parece estar alojado en Europa del Este), no se debe confiar en el correo electrónico.

Si el dominio parece correcto, verifica que el resto de la información coincida. Por ejemplo, si el correo electrónico parece provenir de una sede corporativa ubicada en California, asegúrate de que los códigos de área en los números de teléfono correspondan a la ciudad correcta. Pasa el cursor del ratón sobre cualquier hipervínculo para ver si redirige al sitio previsto. Asegúrate de que el nombre de la empresa no sea un subdominio: por ejemplo, si el correo electrónico parece provenir de CrowdStrike, los enlaces no deben conducir a crowdstrike.customersupport.com, sino a customersupport.crowdstrike.com. El nombre correcto siempre debe aparecer justo antes del .com o de cualquier otra extensión de archivo, nunca en otro lugar.

Asegúrate de que haya un certificado SSL (capa de sockets seguros). Un certificado SSL es un archivo de texto que autentica la identidad de un sitio web y cifra la información enviada al servidor. Hoy en día, la mayoría de los sitios web tienen certificados SSL.

Comprueba el certificado SSL. Asegúrate de que el dominio en el certificado sea el correcto y no uno falsificado. En Chrome o Brave, puedes verificar el certificado haciendo clic en el icono del candado de la barra de direcciones y luego en "Certificado (válido)" en la ventana emergente. En Firefox, haz lo mismo, pero en lugar de buscar "Certificado (válido)" en la ventana emergente, haz clic en la flecha a la derecha del nombre de la empresa y aparecerá un mensaje que declara la seguridad del estado de la conexión. En Safari, haz doble clic en el candado y selecciona "Mostrar certificado".

No hagas clic en los enlaces del mensaje o del sitio web. En su lugar, busca la entidad y haz clic en el enlace en los resultados de búsqueda.

¿Qué es la suplantación de dominios?