Los IDN son nombres de dominio que utilizan caracteres de una escritura o alfabeto no latino
Las aplicaciones de Microsoft Office, incluida Outlook, son vulnerables a los ataques homógrafos basados en nombres de dominio internacionalizados (IDN).
En la práctica, esto significa que los usuarios que se desplazan sobre un enlace en un correo electrónico de phishing o un documento de Word o Excel que han recibido no pueden saber que los dirigirá a un dominio malicioso falsificado que no es lo que pretende ser.
"Los usuarios, que están capacitados para validar un enlace en un cliente de correo electrónico antes de hacer clic en él, serán susceptibles de hacer clic en él porque aún no se ha traducido a un nombre de dominio real en su navegador. El nombre de dominio real solo se vería después de que la página haya comenzado a abrirse", advirtieron los investigadores de Bitdefender.
Ataques homógrafos basados en IDN y Microsoft Office
Los IDN son nombres de dominio que, total o parcialmente, utilizan caracteres de una escritura o alfabeto no latino, que están codificados por el estándar Unicode. Para que el Sistema de nombres de dominio (DNS) pueda "leerlos" correctamente, los IDN se almacenan en el DNS como cadenas ASCII mediante la transcripción Punycode.
"Punycode puede representar caracteres Unicode utilizando el juego de caracteres ASCII limitado; por ejemplo, mi dominio localizado žugec.sk es en realidad un dominio xn--ugec-kbb.sk”, explicó Martin Zugec, director de soluciones técnicas de Bitdefender (En el caso de esta página el dominio apañados.es es en realidad un dominio xn--apaados-6za.es).
Los dominios homógrafos de IDN falsificados se crean mediante la combinación de letras de diferentes alfabetos, que para el usuario se ven tan similares entre sí que hacen que la diferenciación sea imposible (o extremadamente difícil e improbable), pero Unicode los trata como entidades/letras separadas.
"Los ataques homógrafos no son un concepto nuevo", señaló Zugec. "A lo largo de los años, ha habido múltiples intentos de resolver este problema. Hoy en día, confiamos en una combinación de investigación de antecedentes de registro de dominios y conciencia integrada en las aplicaciones de los clientes como los dos métodos más comunes para prevenir el riesgo de estos ataques".
La mayoría de los navegadores, por ejemplo, muestran en la barra de direcciones el nombre real de un nombre de dominio internacionalizado (p. ej., https://www.xn--apaados-6za.es) en lugar del nombre para mostrar (p. ej., https://www.apañados.es) si el sitio es sospechoso. Pero, como descubrieron los investigadores de Bitdefender, las aplicaciones de MS Office muestran el nombre para mostrar.
¿Qué tan probables son estos ataques?
Dado que la verificación del registro de dominios limita en gran medida qué dominios falsificados se pueden registrar y la mayoría de los navegadores (Firefox es una excepción) muestran el nombre real del dominio IDN falsificado, los ataques homógrafos de IDN son poco prácticos y poco comunes.
Aún así, los actores de amenazas altamente motivados que persiguen a compañías específicas podrían encontrar que vale la pena tomarse la molestia de configurar estos ataques.
"Revisamos los datos en nuestra telemetría todos los meses para obtener más información sobre el panorama de amenazas de ataques homógrafos. Vemos una clara tendencia a apuntar a las operaciones financieras, con un enfoque principal en los mercados de criptomonedas", agregó Zugec.
Microsoft reconoció el problema cuando se le notificó sobre los hallazgos de Bitdefender, pero no dejó en claro si tiene la intención de solucionarlo.
Mientras tanto, las soluciones de seguridad de punto final y los servicios de reputación de IP y URL deberían bloquear la mayoría de los dominios sospechosos, y la capacitación de concienciación de los usuarios debería enseñarles a verificar siempre la URL de destino.
"Como regla simple, si la URL comienza con xn--, el sitio es sospechoso. Los nombres de dominio internacionales rara vez se usan para actividades no maliciosas, excepto en unos pocos países (por ejemplo con la ñ en España)", señaló, y advirtió que, dado que estos dominios IDN falsificados pueden equiparse con certificados de seguridad gratuitos, los usuarios no deben tratar el icono de un candado presente en la barra de direcciones como prueba de la legitimidad del dominio.
Las organizaciones también deben implementar la autenticación multifactor para hacer que el homógrafo y cualquier otro tipo de phishing sea menos probable que comprometa la cuenta, y deben considerar registrar todos los dominios que podrían estar asociados con su empresa.
"Debido a que los IDN están limitados a un solo conjunto de caracteres, las combinaciones son limitadas. Durante nuestra investigación, notamos que pocas empresas registran proactivamente todos los posibles dominios de suplantación de identidad", concluyó Zugec.
