Skip to main content

Robo de credenciales y secuestro de nombres de dominio a través de sitios de phishing – JPCERT/CC Eyes

mayo 23, 2024


A principios de julio de 2023, JPCERT/CC confirmó un caso de secuestro de dominio en el que un dominio utilizado en Japón fue transferido sin autorización a otro registrador. Esta publicación de blog describe el caso de ataque.

Descripción general del ataque

La Figura 1 muestra el flujo de ataque. El atacante primero preparó un sitio de phishing, que se hacía pasar por un registrador de anuncios de sitios de búsqueda.

Figura 1: el flujo de ataque

Un atacante puede robar información de la cuenta y contraseña (en lo sucesivo, «credencial») cuando un administrador de dominio accede a un sitio de phishing e ingresa la credencial. Después de que la víctima ingresa su credencial en este sitio de phishing, se la redirige al sitio legítimo en el que inició sesión. Por lo tanto, le resulta difícil reconocer el phishing.

Luego, el atacante utilizó la credencial robada para iniciar sesión en el sitio legítimo del registrador y procedió a transferir el dominio a otro registrador. Aunque el administrador del dominio había utilizado la función de bloqueo de transferencia de dominio para el dominio objetivo, el atacante la desbloqueó. En el proceso de desbloqueo, este registrador envía un correo electrónico a la dirección de correo electrónico de contacto del usuario para su confirmación y aprobación. Sin embargo, el atacante también cambió la dirección de correo electrónico de contacto.

Medidas que se pueden tomar con antelación

Se recomiendan las siguientes acciones para prevenir los ataques descritos anteriormente:

  • No asuma que el enlace que se muestra en el sitio de búsqueda es correcto. En su lugar, acceda al sitio desde una aplicación oficial confirmada o una URL que haya marcado como favorita en su navegador web.
  • Utilice las funciones de seguridad proporcionadas por el sitio (por ejemplo, autenticación de dos factores)
  • Evite contraseñas simples o usar la misma contraseña repetidamente
Referencias

[1] Consejo Antiphishing de Japón: ¿Qué es el phishing?
https://www.antiphishing.jp/consumer/abt_phishing.html (Japonés)

[2] Consejo Antiphishing de Japón: Directrices antifraude antiphishing para usuarios (PDF)
https://www.antiphishing.jp/report/consumer_antiphishing_guideline_2023.pdf (Japonés)

[3] JPCERT/CC: ¡BASTA! ¡Reutilizando la contraseña!
https://www.jpcert.or.jp/pr/stop-password.html (Japonés)

También se recomienda verificar periódicamente la información del proveedor de servicios que está utilizando, ya que pueden ofrecer nuevas funciones de seguridad en su sitio en respuesta a los cambios del TTP de los atacantes.

Medidas que se pueden tomar después de que se realiza el secuestro de un nombre de dominio

Cuando sea víctima de secuestro de nombre de dominio y note que su dominio se transfiere sin su autorización, comuníquese con el registrador que utiliza para administrar el dominio.

Referencias

[1] ICANN: Política de resolución de disputas sobre transferencias de registradores
https://www.icann.org/resources/pages/tdrp-2016-06-01-en

[2] JPCERT/CC: Publicación de un documento técnico que resume las técnicas de abuso de DNS
https://blogs.jpcert.or.jp/ja/2023/07/DNS-Abuse-Techniques-Matrix.html (Japonés)

Para concluir

La transferencia no autorizada de un dominio tiene un impacto significativo en el sitio que opera bajo el dominio, así como en los usuarios que navegan por el sitio. Además, dependiendo de la situación, puede llevar algún tiempo recuperar el nombre de dominio y, en el peor de los casos, es posible que nunca se devuelva. Por lo tanto, para los servicios que está utilizando actualmente, verifique con anticipación las medidas de seguridad de su cuenta para evitar dicho ataque.

Tetsuya Mizuno

(Traducido por Takumi Nakano)



Source link

Translate »