Los ciberataques cada vez son más sofisticados y peligrosos, pero mayoritariamente suelen comenzar con el uso de ingeniería social para penetrar en los sistemas informáticos debido a que el ser humano es el eslabón más débil en la cadena de la ciberseguridad. Es por eso por lo que los ataques de typosquatting pueden ser tan efectivos. Según el informe de investigaciones de filtraciones de datos de Verizon, en 2022, en el 83% de los ciberataques el factor humano estuvo involucrado.
El typosquatting es un tipo de ataque reconocido en las técnicas utilizadas por los ciberatacantes en MITRE ATT&CK. Es utilizada en ataques de phishing, fraudes y suplantaciones de marca. Si tienes una empresa, un blog o una web, si resultas de interés para los ciber atacantes, es posible que utilicen esta técnica para suplantar tu identidad. En este artículo, te presentamos cinco herramientas para detectar el typosquatting.
¿Cómo nos podemos proteger del typosquatting?
A continuación, te presentamos algunas medidas que puedes tomar para protegerte contra el typosquatting:
- Registra tus nombres de dominio con los TLD principales más conocidos si están disponibles, además de los de los países en los que se ubique la actividad: .com, .org, .net, .io, .me, .es, .de
- Para los trabajadores, la formación en ciberseguridad es esencial para evitar casos de typosquatting, phishing y fraudes. Una persona entrenada podrá detectar patrones y anomalías en los dominios, correos electrónicos y páginas web fraudulentas que pueden pasar desapercibidos por sistemas anti-phishing automáticos.
- Realiza un seguimiento de los registros de dominios, por ejemplo, con cualquiera las herramientas que presentamos a continuación.
Herramientas para detectar typosquatting
OpenSquat
OpenSquat es una de las herramientas más completas de OSINT si queremos para la identificación de amenazas de typosquatting. Añade registros nuevos diariamente y tiene integración con VirusTotal y Quad9 DNS. Funciona con una versión de Python ≥ 3.6 y pip3, y además tiene las siguientes características:
- Detección de ataques homográficos IDN (dominios que potencialmente no contengan caracteres ASCII).
- Permite guardar el resultados en formato TXT, CSV o JSON, para facilitar la integración de los datos recogidos.
- Uso de diferentes niveles de umbral de confianza para el afinado de la búsqueda.
A partir del proyecto principal, han salido otros forks:
- https://phishydomains.com/, donde se recogen los dominios registrados las últimas 24 horas en internet.
- https://telegram.me/opensquat_bot, bot para Telegram.
- https://rapidapi.com/atenreiro/api/opensquat1 para integrarlo en aplicaciones mediante una API REST.
DNStwist
DNStwist está disponible en su versión en terminal, y también en versión web en https://dnstwist.it. Desde la versión de comandos podemos escoger el número de hilos que utilice para trabajar, además de otras opciones como las siguientes:
- Es compatible con diccionarios adicionales.
- Permite especificar servidores DNS para realizar las consultas.
- Si tienes instalado Chromium, DNSTwist puede utilizarlo para renderizar páginas web, realizar una captura de pantalla de las coincidencias y evaluar la similitud entre las webs detectadas.
- Es exportar los datos a CSV y JSON, para facilitar la integración de los datos.
DNSMorph
DNSmorph es una herramienta escrita en Go, haciéndola compacta, portable y rápida. Sus funciones también le permiten hacer las siguientes tareas:
- Comprobar distintos dominios en la misma ejecución.
- Geolocalizar los dominios registrados.
- Resolver los dominios y consultarlos en whois.
- Exportar los resultados a JSON, para facilitar la integración de la información recogida.
Urlcrazy
Urlcrazy viene preinstalada en Kali Linux, una de las distribuciones más famosas destinadas a la ciberseguridad, en el apartado “Information Gathering” del menú de aplicaciones. La aplicación realiza una gran variedad de permutaciones, desde reemplazo de caracteres, bit flipping y cambios de TLD. Al hacer la búsqueda, nos devuelve una gran cantidad de variaciones del dominio a consultar. Si alguno de los dominios mostrados está registrado, muestra información sobre la dirección IP, el nombre del servidor y del correo.
Además, tiene otras características como:
- Comprobar la popularidad en Google del dominio que se quiere comprobar.
- Filtrar por dominios no válidos.
- Exportar los resultados en formato CSV o JSON, para facilitar la integración de los datos recogidos.
- Acepta múltiples distribuciones de teclado (qwerty, azerty, qwertz, dvorak)
DNSlytics
Si buscas una versión web, la herramienta de Dnslytics busca dominios registrados con un carácter de diferencia respecto al dominio proporcionado, sea el cambio dentro de uno de los caracteres del dominio (por ejemplo, tw1tter.com), o una adición (1twitter.com). En sus opciones avanzadas nos permite configurar la búsqueda mediante 2 parámetros:
- Fecha de registro: Si quieres comprobar sólo dominios nuevos, permite escoger los últimos 30 o 7 días
- Filtrar por tipo de TLD: Permite escoger entre ccTLD, gTLD, nTLD, IDN.
Si quieres profundizar sobre las técnicas utilizadas por los ciberdelincuentes, puedes consultar el artículo de técnicas de ingeniería social donde se detallan más tipos de ataques de ingeniería social.