martes, 6 de septiembre de 2016

El mercado y el mercadeo del typosquatting (3)

Los que no estaban

Esta gente tiene más peligro que un plugin sin firmar.

Y no se trata de una única persona o de una única personalidad en Internet, que a priori es difícil distinguir un caso del otro.

Vimos el otro día que el propietario del dominio que trataba de propagar el plugin lo tenía aparcado y que era dueño de otros que hacían cosas igual o más raras que aquel. Pero ¿habrá dominios de otros propietarios que también te inviten a instalarlo? La respuesta parece clara: sí. Pero vamos a comprobarlo. Por ejemplo, buscando en Google el título de la página:

327 resultados. Referencias a dominios en páginas que se dedican a ello. Sí, algunos son casos repetidos, pero siguen siendo un buen número. Y muchos de ellos en dominios ".es".

Como comentábamos, el que NIC.ES te haga resolver un CAPTCHA antes de ver los datos de un dominio ha servido, en cierta medida, para proporcionar un cierto nivel de privacidad a los registrantes. O, por lo menos, para que no aparezcan sus datos directamente en los buscadores y otros sistemas de agregación de datos. Eso ha hecho que algunos vieran innecesario el uso de sistemas de anonimización y protección de datos en el registro de Whois.

Pero WhoisEs ha cambiado las reglas al ofrecer los datos sin CAPTCHA alguno y ser indexado por buscadores y sistemas como Domain Big Data. Y parece que todo ha sucedido demasiado rápido para algunos. Para casi todos. Por lo que no debe extrañar encontrarse ahora con mucha información y muchas posibilidades de relacionarla.

Eso sí, como decía en el post anterior, comprueba siempre los datos en las fuentes originales, que no siempre están actualizados. Recuerda que esta gente trabaja con dominios a corto plazo y muchas veces los ponen a la venta. Y si piensas en comprarles alguno, piensa que te los llevas con todo el historial que han adquirido previamente. Que quizá figuren en listas negras por las prácticas en las que se han visto involucrados o están etiquetados como distribuidores de malware. Cuidado, en todo caso.

Lo que ahora interesa es que aparecen muchos datos  y que a partir de cada dominio tenemos hilo del que tirar.

Como este caso. En la imagen aparece una referencia a una noticia de un tema policial entre los resultados proporcionados por Google. Téngase en cuenta que podría tratarse de otra persona con el mismo nombre que el utilizado para registrar el dominio y que no tenga nada que ver con éste. Al fin y al cabo, nombres que en un país parecen extraños en otros son de lo más común. Y no siempre se da un nombre real al hacerse con un dominio:


O este otro, cuyos apellidos harían pensar en un hermano del propietario del dominio con el que empezamos esta serie:
Hermano y compañero de fatigas, por lo que parece.

Riesgos futuros

No quiero repetirme más y me remito a los posts anteriores (1 y 2). Pero tampoco que no se transmita la preocupación que ciertos dominios me inspiran. Dominios que podrían confundirse con los de organismos y administraciones públicas o sitios populares. A los que un sencillo error, como el de no escribir el punto que separa el típico "www" del nombre del dominio, podría llevar. Por citar algunos (entre los resultados, en negrita, aparece un "falso positivo":

Y sucede que si te equivocas en el nombre de un banco quizá termines en una página que simula parecer Facebook y que te intenta contar lo afortunado que eres:

O quizá dominios que parecen hechos a medida de un intento de phishing, en los que uno de esos puntos que separan las partes de un nombre de equipo fue sustituido por otro carácter:

Muchos de ellos son ofrecidos a precios más que económicos, como se puede apreciar en la imagen. Económicos para un phisher. Y económicos para las organizaciones que, a causa de ellos, podrían ser objeto del phishing. La cuestión es saber quién se va a adelantar o si alguno de ellos no está intersado en la carrera.

Para dejar buen sabor de boca, ahí os dejo una remesa de dominios que, si algún día caen en malas manos, podrían causar verdaderos quebraderos de cabeza a más de uno. Sólo una muestra, sacada de "nic.es":



Llegado el caso, posibles objetos de los ataques podrían ser el Boletín Oficial del Estado, la Agencia Tributaria, la RAE (a la que desde que se pusieron a definir lo que es un "hacker" sin saber del tema...), la Agencia Española de Meteorología, la Agencia de Protección de Datos, Amazon, la Junta de Andalucía, la Dirección General de Tráfico...

O el propio "dominios.es".

No hay comentarios:

Publicar un comentario