Descubriendo enlaces engañosos

Es común que los desarrolladores de códigos maliciosos intenten propagar sus amenazas a través de distintos medios de comunicación. Haciendo uso de técnicas de Ingeniería Social intentan aumentar la eficacia de sus engaños: un correo con un enlace a un video de YouTube, un mensaje de Facebook que dice tener fotos nuestras y hasta un simple tweetque  nos recomienda seguir a alguien en Twitter pueden ser utilizados como canales de propagación de códigos maliciosos.

Los acortadores de URL, como por ejemplo bitly, son ampliamente utilizados para propagar amenazas, escondiendo el enlace real para lograr que el usuario haga clic sin siquiera pensar que su equipo podría verse afectado. Pero, ¿esto es (o fue) siempre así? La respuesta es no, si bien es una técnica muy común no es lo único que existe.

Un caso muy usual es encontrar en la bandeja de entrada un correo proveniente de algún contacto conocido, normalmente dicha cuenta ha sido vulnerada y se encuentra enviando correos con enlaces maliciosos. Un ejemplo de esto se observa en el siguiente correo:

El mensaje contiene un enlace que pareciera ser un video de YouTube, pero en realidad redirige al usuario a la descarga de un código maliciosos detectado comoWin32/TrojanDownloader.Banload.PMI, un troyano que una vez que ha infectado el equipo realiza la descarga de otras amenazas que intentan robar credenciales del usuario. Esta muestra fue anteriormente analizada y comentada en un ataque masivo de phishing a la banca de Brasil.

Hay un punto muy claro: el enlace no es lo que dice ser. Además, el código malicioso no se encuentra alojado en el conocido servicio de videos online: la dirección URL no es lo que dice ser. En casos como este no se hace uso de ningún acortador de direcciones sino que directamente se engaña al usuario mediante una técnica mucho más común.

Ahora, ¿cómo es que hacen esto? ¿De qué manera podemos identificar estas amenazas? La respuesta a cada una de las preguntas se relacionan con la propiedad <HREF> que permite enlazar un texto determinado a una dirección, documento, etc.

En realidad, el correo que observamos anteriormente contiene una referencia a una dirección distinta a la que muestra en el texto, observando los detalles del correo esto se puede observar mejor:

En resumen, si tomamos las imágenes anteriores, podemos ver en la primer imagen que al pasar el mouse sobre el enlace, el navegador, en la barra inferior, muestra cuál es el enlace real. Esto debería ser el primer punto a tener en cuenta por los usuarios. En la segunda imagen vemos cómo es que mediante una propiedad tan básica de HTML los desarrolladores de códigos maliciosos pueden engañar a un usuario.

¿Qué podemos entender de todo esto? Que las técnicas utilizadas para engañar a los usuarios son muy diversas. Las vemos en TwitterFacebook o hasta en correos electrónicos falsos provenientes de un contacto cuya cuenta fue comprometida. En este caso un control tan sencillo como observar en la barra del navegador, donde se muestra a qué enlaza el hipervínculo, ayuda a mantener a los usuarios alejados de amenazas.

Una alternativa es escanear los enlaces, o ver que hay detrás de los mismos utilizando plugins para Chrome y para Firefox.

En conclusión, existen ciertos puntos que no se pueden dejar de lado en lo que respecta a seguridad informática y dos de ellos son contar con una solución antivirus con capacidad de detección proactiva y una buena educación por parte de los usuarios. De esta manera se fortalecen las defensas para que las probabilidades de caer presas de engaños, ya sean sencillos o más elaborados, sean mínimas.

Pablo Ramos
Especialista de Awareness & Research

Share

This entry was posted in aprendizaje, codigos, concienciar, ing. social, redes sociales, robo. Bookmark the permalink.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

If you agree to these terms, please click here.

Este sitio usa Akismet para reducir el spam. Conoce cómo se procesan los datos de tus comentarios.