Un ataque homógrafo dirigido a Booking.com
Un consejo habitual para identificar enlaces maliciosos en correos electrónicos o mensajes de texto es mirar atentamente la dirección web en sí, por ejemplo, pasando el cursor sobre la URL antes de hacer clic.
Ahora, los actores de amenazas están intentando engañar incluso a aquellos con un ojo crítico al incorporar en estas URL caracteres similares, de modo que los enlaces parezcan dirigir a un dominio legítimo pero en realidad lleven a un sitio web que distribuye malware.
Un ataque homógrafo dirigido a Booking.com
Según BleepingComputer, investigadores de seguridad han identificado una campaña que inserta el carácter japonés hiragana "ん" en las URL. A simple vista, esto puede parecer una combinación de la barra diagonal "/", comúnmente usada en enlaces, más "n" o "~", por lo que no parece sospechoso. Por supuesto, el enlace es malicioso. Esto se conoce como ataque de homoglifo u homógrafo, que explota caracteres que parecen similares en diferentes conjuntos de símbolos o alfabetos.
El esquema actual se dirige a los clientes de Booking.com mediante correos electrónicos de phishing que contienen enlaces falsos. La URL parece dirigir a una dirección legítima de Booking.com (https://account.booking.comんdetailんrestric-access.www-account-booking.com/en/), pero, gracias al homóglifo, en realidad redirige a una dirección similar que instala malware en el dispositivo del usuario.
Según BleepingComputer, el instalador malicioso podría instalar un programa de robo de información, que podría extraer de su dispositivo credenciales de inicio de sesión, datos financieros o información personal; o un troyano de acceso remoto, que podría permitir a atacantes tomar el control de su equipo a distancia.
Esta no es la primera estafa de phishing que afecta a los usuarios de Booking.com en los últimos meses. A principios de este año, cibercriminales crearon sitios web falsos con formularios CAPTCHA maliciosos para obtener acceso remoto a los dispositivos de las víctimas. Tampoco es el único ataque homógrafo en curso. BleepingComputer ha identificado correos electrónicos de phishing que, a primera vista, parecen provenir del proveedor de software Intuit, pero dirigen a dominios que utilizan "Lntuit", lo que puede engañar a los usuarios cuando se ve en minúsculas en algunas fuentes.
Cómo evitar un ataque homógrafo
Siempre pasa el cursor sobre los enlaces en correos electrónicos, mensajes de texto y redes sociales no solicitados, especialmente aquellos con llamadas a la acción urgentes relacionadas con la seguridad de la cuenta, para ver el destino antes de hacer clic. Obviamente, el éxito de los ataques homógrafos implica que la inspección visual a veces falla, pero aun así se debes revisar cuidadosamente toda la URL para detectar cualquier carácter oculto. BleepingComputer también recomienda prestar especial atención al extremo derecho de la dirección, antes de la primera barra diagonal, que indica el verdadero destino (por ejemplo, www.xn--apaados-6za/).
Por supuesto, lo mejor es omitir los enlaces por completo e ir directamente al sitio web (o aplicación) de la empresa de la que supuestamente recibiste este mensaje urgente. Desde allí, inicia sesión en tu cuenta para ver la configuración de seguridad, restablecer tu contraseña o realizar acciones adicionales. Malwarebytes Labs señala que mantener tu navegador actualizado también puede ayudar a protegerte contra ataques homógrafos.
