Un consejo común para identificar enlaces maliciosos en correos electrónicos o mensajes de texto es observar de cerca la dirección web en sí, como flotar sobre la URL antes de hacer clic. Ahora, los actores de amenaza intentan engañar incluso a aquellos con un ojo crítico al incrustar personajes parecidos en estas URL, de modo que los enlaces parecen dirigir a un dominio legítimo, pero en realidad lo llevan a un sitio web que distribuye malware.
Un ataque de homógrafo dirigido a Booking.com
Según lo informado por bleepingComuterLos investigadores de seguridad han identificado una campaña que inserta el personaje japonés de Hiragana “ん” en URL. De un vistazo, esto puede parecer una combinación de la barra delantera “/” comúnmente utilizada en los enlaces, además de “n” o “~”, por lo que nada parece sospechoso. Por supuesto, el enlace es realmente malicioso. Esto se conoce como homoglífico o ataque de homógrafo, que explota caracteres que se ven similares en diferentes conjuntos de símbolos o alfabetos.
El esquema actual se dirige a los clientes de Booking.com a través de correos electrónicos de phishing que contienen enlaces falsos. La URL parece ir a una dirección legítima de Booking.com (https://account.booking.com ん Detalle ん Restric-access.www-account-book.com/en/) Pero, gracias al homoglífico, en realidad redirige a un aspecto que ofrece malware al dispositivo del usuario. Según BleepingComputer, el instalador malicioso puede entregar un infoptealer, que podría raspar su dispositivo para obtener credenciales de inicio de sesión, datos financieros o información personal; o un troyano de acceso remoto, que podría permitir a los malos actores se hagan cargo de su máquina desde lejos.
Esta no es la primera estafa de phishing que afecta a los usuarios de Booking.com en los últimos meses. A principios de este año, los actores de amenaza establecieron sitios web falsificados con formularios de captcha maliciosos destinados a obtener acceso remoto a los dispositivos de las víctimas. Tampoco es el único ataque de homógrafo que actualmente se ejecuta. BleepingComputer ha identificado correos electrónicos de phishing que, a primera vista, parecen ser del proveedor de software intuit, pero directamente a los dominios que usan “Lntuit”, que pueden engañar a los usuarios cuando se ven en minúsculas en algunas fuentes.
¿Qué piensas hasta ahora?
Cómo evitar un ataque de homógrafo
Siempre pasee por los enlaces en correos electrónicos, mensajes de texto y mensajes de redes sociales no solicitados, especialmente aquellos con llamadas urgentes a la acción relacionadas con la seguridad de la cuenta, para ver el destino antes de hacer clic. Obviamente, el éxito de los ataques de homógrafos significa que la inspección visual a veces falla, pero aún debe revisar cuidadosamente la URL para cualquier personaje furtivo que pueda estar escondido. BleepingComputer también informa que se debe prestar atención adicional al final más derecho de la dirección antes del primer corte hacia adelante, lo que indica el destino verdadero. (www.lifehacker.com/ por ejemplo).
Por supuesto, es una mejor práctica omitir los enlaces por completo y ir directamente al sitio web (o aplicación) de la empresa de la que supuestamente recibió este mensaje urgente. A partir de ahí, inicie sesión en su cuenta para ver la configuración de seguridad, restablecer su contraseña o tomar medidas adicionales. Notas de MalwareBytes Labs que mantener a su navegador actualizado también puede ayudar a proteger contra los ataques de homógrafos.
