Paul Ducklin tiene una mirada profunda en la escala y el riesgo de la industria del typosquatting: que es registrar faltas de ortografía en dominios populares en un intento de aprovechar errores de mecanografía.

Aplicando un carácter de un posible error a los nombres de dominio de Facebook, Google, Twitter, Microsoft, Apple y Sophos, Ducklin recolecto datos HTTP y capturas de pantalla del navegador en 1502sitios web y 14.495 URLs.

En este informe, el analiza los datos para pintar una imagen fascinante del ecosistema del typosquatting, encontrando sorprendentemente poco malware, pero sin embargo un montón de riesgo.

Introducción

Una lectora de Naked Security recientemente le pidió investigar la escala y el riesgo de typosquatting, después que ella accidentalmente se puso en peligro por equivocarse con una URL popular.

Ella pretendía visitar posterous.com, pero había escrito por error posterious.com que son lingüísticamente similares. Fue desviada inmediatamente y automáticamente a un sitio que fue bloqueado por Sophos Endpoint Security porque contenía malware. De hecho, posterious.com redirige al capricho de su operador a sitios diferentes cada vez que lo visite.

Como se puede ver a continuación, en su investigación posterious.com los llevó a un sitio de comparación de productos, un sitio de cupones en línea y luego a un sitio de búsqueda genérica que suelen verse en los dominios de typosquat.

Los typosquatters registran faltas de ortografía en dominios populares con la esperanza de que serán capaces de hacer dinero con el tráfico de errores de escritura involuntarios, o errores de escritura, hechos por internautas.

¿Por tanto, cuan malo es el typosquatting? ¿Qué tipo de riesgo plantean las equivocaciones con los dedos?. Decidieron averiguar.

El experimento

Eligieron seis dominios: Facebook, Google, Twitter, Microsoft, Apple y mientras estaban en ello, Sophos.

Para mantener las cosas simples pero representativas, se limitaron a errores tipográficos de un carácter alfabético en el nombre de la empresa: una letra omitida o una letra mal escrita. Errores tipográficos que implican números o signos de puntuación fueron ignorados.

Generaron todos los errores posibles de un carácter en la forma de http://www.companyname.com de los anteriores seis dominios. Produjo 2249 únicos nombres de sitio, de http://www.pple.com, a través de http://www.facemook.com, a http://www.twitterz.com.

Por supuesto, algunos de estos nombres generados son significativos en su propio derecho. El dominio http://www.racebook.com, por ejemplo suena como un sitio de apuestas y lo es, Goole.com es un sitio sobre Goole, un gran puerto en la costa este de Inglaterra y witter.com es un sitio propiedad de un estadounidense llamado Glen Witter.

La escala del typosquatting

No todos los posibles nombres equivocados de un carácter para cualquier dominio serán registrados y en uso. Para hacerse una idea de cuántos typosquats como expectativa para un dominio empresarial, empezamos con las versiones mutadas de http://www.sophos.com.

Aunque más de 100 millones de usuarios en todo el mundo están protegidos por Sophos, no tienen productos de consumo, una tienda de música en línea, webmail, un motor de búsqueda o una red social. Por lo tanto no tienen millones de usuarios que intentan escribir y visitar su URL cada día. Esto sugiere que http://www.Sophos.com debería ser representante de una parte ligeramente ocupada de espacio de nombres de dominio.

Sophos tiene la esperanza de que los ocupantes ilegales de tráfico de búsqueda ocasional o por la oportunidad de vender en un nombre de dominio sea probable, pero son sólo unos pocos. Mediante el sistema de nombres de dominio (DNS) para verificar dominios registrados y resolverse en su lista generada por el equipo, los acercó con una proporción de 56 de 333, o sea el 16%.

Las cosas eran muy diferentes en su estudio con las otras marcas .

Los typosquats en Microsoft fueron en 61%,  Facebook 74%, Twitter 81%, Google 83% y Apple en 86%. Claramente, hay un importante ecosistema typosquatting alrededor de nombres de dominio de alto perfil escritos a menudo.

Recolectando los datos

En total, dos tercios de sus 2249 posibles dominios de typosquat , 1502 en total se  resolvieron usando DNS. Con secuencias de comandos de automatización escritas en una combinación de Python, Lua, Bash y Applescript – una extrañamente maravillosa herramienta para el control de las aplicaciones de OS X – han navegado a cada sitio en Safari, exactamente igual que si un usuario hubiera escrito el nombre de dominio completo en la barra de direcciones.

Han relanzado Safari 5.1.1 y realizado una limpieza al navegador antes de visitar cada sitio. Esto aseguró que no hubo cookies, archivos de la caché o otro historial del navegador para influir en los resultados.

Utilizando a un proxy web personalizado, grabaron todas las direcciones URL y tráfico HTTP completo por cada visita. También tomaron una instantánea de la pantalla de la página web resultante después de que Safari había estado en acción durante nueve segundos.

Luego les crujieron los datos para ver lo que podrían aprender sobre la industria del typosquatting.

Los resultados

Su primera y feliz sorpresa, fue que no fueron invadidas con malware.

Recientemente han estudiado un lote perdido de llaves USB compradas a la autoridad de tránsito Lost Property; Esperaban que la tasa de infección sería aproximadamente el 10%, pero encontraron que el 66% de las memorias USB de su estudio estaban infectadas.

Por lo que asumieron ingenuamente que los sitios de typosquat ya fueran por accidente o diseño estuvieran infectados con malware. Pero fuera de las 14.495 URL descargadas en la navegación, solo 1502 sitios de su lista contenían malware. Eso es sólo el 0,01% por URL y 0,07% por nombre de dominio completamente calificado.

En retrospectiva, sin embargo, esto no es sorprendente.

Solo hay muchas alternativas plausibles a errores de ortografía de palabras como Facebook y Sophos, por lo que los typosquatters tienen un interés en evitar el malware. A diferencia de los falsos vendedores de viagra o vendedores de scareware, los typosquatters no pueden levantarse y seguir adelante si uno de sus dominios tiene una  reputación indiscutible maliciosa.

Clasificaciones de SophosLabs

Su segunda observación fue que, a pesar de la ausencia de malware, el typosquats no es de ninguna manera inofensivo.

Han analizado hasta cada una de las direcciones 14.495 URL en su tráfico guardado utilizando datos de SophosLabs. (Esta es la misma detección y clasificación que disfrutan los usuarios de Sophos Web Security y Control ).

384 de la URL (2,7%) descargadas al visitar un sitio de typosquat cayó en la categoría de la ciberdelincuencia. Eso significa que son, o han sido, asociados con hacking, phishing, fraude en línea o de spam. Y 354 de la URL (2,4%) eran sitios para adultos o citas.

Incluso si usted tolera sitios para adultos, no desea exponer su lugar de trabajo o a sus hijos a ellos. Los typosquatters tienen esos reparos.

Las otras categorías que resaltan en su desglose dan una visión del alto nivel en el ecosistema de typosquatting. Como era de esperar, el 15% de las direcciones URL fueron etiquetadas como sitios de publicidad y ventanas emergentes; 12% relacionadas con IT y hospedaje, que representa el gran número de typosquats que ofrecen para vender un nombre de dominio posiblemente interesante, 6% fueron clasificado como sitios de búsqueda, 3 % con el cibercrimen y el 2 % con sitios para adultos.

Localización de los servidores

La tercera cuestión que examinaron fue la ubicación de los servidores que alojan las URL de typosquatting.

Como era de esperar, Estados Unidos encabezó la lista, albergando casi dos tercios de los servidores; Alemania, China y el Reino Unido entraron en los siguientes tres puntos. Las Islas Vírgenes Británicas (población aproximadamente 30.000) y las Islas Caimán (unos 60.000), que son centros financieros extraterritoriales, están en la primera docena.

Las subculturas del Typosquatting

Su cuarto ejercicio fue identificar y comentar cualquier subculturas prominentes o interesantes en la comunidad del typosquatting.

Ignorando los 354 sitios para adultos y citas, que componen el 2,4% de las direcciones URL en su lista, varias categorías atrajeron su atención. Muchas páginas de typosquat caen en más de una categoría:

  • Parking de dominio y dominios en venta
  • Páginas “Relacionados con la búsqueda”
  • Concursos y encuestas
  • Conmutador de cebo
  • Hacerse pasar
  • Sátira y humor excéntrico
  • Otros investigadores de Typosquatting

Varios proveedores de dominios para la venta aparecieron en todos los seis de los dominios analizados, de Apple a Twitter. El actor principal en la gestión de contenido de la página de dominios typosquat, incluyendo los enlaces de “búsquedas relacionadas” en las páginas de typosquat, es filial de Google DoubleClick.

Más de 560 de las 1502 páginas (37%) en su prueba hicieron uso de DoubleClick, que atiende a numerosas empresas de parking de dominios, incluyendo Bodis, Oversee, Sedo y Demand Media. Es probable reconocer el aspecto de los dominios aparcados de estas empresas, ya que aparecerán en ventanas emergentes por todo el internet, no sólo en sitios de typosquatting.

Conmutador de cebo

La operación de cebo y el conmutador más abiertamente en su estudio abuso de las marcas Apple y iTunes, en 52 de los 241 relacionados con los dominios de Apple (22%) en su lista, desde http://www.abpple.com a http://www.applze.com. Estos sitios de typosquat todos re-direccionaron a un par de dominios llamados live-online-istore y mp3helpdesk.

La empresa detrás de este cebo y re-direccionamiento (switch) está registrada en Jersey, en Channel Islands, tiene una dirección de alojamiento en Harley Street, London y opera sus servidores fuera de Canadá.

El truco es simple: si tipea http://www.apple.com y terminan en el sitio de live-online-istore, verá una página similar a Apple.

En esta página aparecen ofertas para descargas el software  iTunes para Windows y Mac. El botón “Descargar iTunes” es el cebo.

No hay ninguna descarga de iTunes. Si hace clic en el botón, es re-direccionado al sitio mp3helpdesk, que ahora dice le ofrece “descargas ilimitadas por sólo 0.99 al mes”.

En verdad, lo que está pagando es solo el acceso a los foros de ayuda técnica para una selección de software gratuito para compartir archivos y reproducir archivos de audio y vídeo.

La letra pequeña, de hecho, usted sería perdonado por no leerla. Descargas ilimitadas” se refiere simplemente a la gran cantidad de archivos peer-to-peer, legales e ilegales, que están disponibles gratis en línea.

Uso indebido de la marca

Otro abuso de marca entre sus muestras involucradas directamente pasando fuera del dominio de typosquat como la cosa real. Google fue la marca más comúnmente abusada, ya que es trivial para un sitio de terceros para presentar una página de búsqueda como Google y utilizar el buscador Google detrás de las escenas.

Este tipo de uso indebido de la marca puede generar ingresos de varias maneras.

Mediante la presentación de los enlaces patrocinados como resultados de búsqueda orgánica, el sitio falso gana ingresos a través de los clics más fácilmente. Mezclando otros enlaces generadores de ingresos en los resultados de la búsqueda real, los abusadores de la marca pueden ocultar sus vínculos inorgánicos y incluso enlaces no relacionados entre los resultados de alta calidad.

Por supuesto, por la presentación visual de su llamada motor de búsqueda como una marca bien conocida, el sitio falso ni siquiera parece un typosquat.

El lado más ligero

Pero no todo fue muerte, tristeza y la repetición entre nuestros typosquatters, sin embargo.

Encontraron humor ocasional y la sátira, como se muestra arriba, en dos de los sitios, pues se encontraron con compañeros de investigación en el campo del typosquatting, como se muestra a continuación:

Conclusiones

Cometer errores al escribir los nombres de dominio popular, no fueron un peligro inmediato como lo había temido el investigador de Sophos, con sólo una página web que contiene JavaScript directamente malicioso.

Pero todavía hay un montón de direcciones URL de riesgo al que se expone nuestro navegador web simplemente comenzando con un dominio typosquat.

De las 14.495 direcciones URL descargadas en su colección, 738 (5,1%) fueron clasificadas por SophosLabs como cibercriminal o adulta. El primero siempre debe ser bloqueado, este último debe ser bloqueado por lo menos en el lugar de trabajo o cerca de los niños.

Por supuesto, incluso si se toman las precauciones tecnológicas, es casi inevitable que el resultado final será en un sitio web no deseado de vez en cuando. Esto se debe a que la escala de la industria typosquatting es tan grande: más del 80% de todas las posibles variantes de un solo carácter de los dominios de Facebook, Google y Apple están registrados y resueltos.

Si usted se encuentra en algún lugar que no tenía la intención, debido a un error de escritura, no tenga la tentación de hacer clic a través de la página inesperada, incluso si lo que aparentemente ser le ofrece un enlace a su destino.

A lo mejor, el typosquats conduce a dominios aparcados con el objetivo de hacer dinero de la nada, mediante la capitalización de sus errores.

En el peor caso, los typosquatters están tratando de dar una falsa sensación de seguridad, con la intención de engañar aún más que en acciones no deseadas en línea  y posiblemente arriesgadas.

¿En primer lugar por qué confiar en un sitio que no quiere visitar? ¿Por qué alimentar una economía que se basa en aprovecharse de los errores de otros?

Traducción: Velcro

Fuente: Sophos Naked Security Blog

Anuncios