Rudy Giuliani, ex zar de la seguridad cibernética, ha sido blanco de errores tipográficos en Twitter, gracias a los errores ortográficos y otros errores de teclado cometidos en varios de sus tweets públicos. En un tweet enviado el domingo, Giuliani tenía la intención de enviar a sus más de 650,000 seguidores a su nuevo sitio web, RudyGiulianics.com. En cambio, un espacio agregado después de «Rudy» envió a los usuarios en una búsqueda de redirección que finalmente aterrizó en una página web con adware .
Typosquatting se ha utilizado durante mucho tiempo como una forma de capitalizar los errores cometidos por aquellos con dedos torpes. Una URL mal escrita, que normalmente llevaría a los usuarios a una página de error 404, en su lugar se redirige a un sitio completamente no relacionado, a menudo uno diseñado para malas intenciones. Por ejemplo, supongamos que ingresas yotube.com en la barra de direcciones de tu navegador en lugar de youtube.com. En lugar de ver el portal normal de YouTube, será redirigido a través de algunas redes publicitarias y probablemente terminará en una página de estafa, gracias al práctico trabajo de los typosquatters emprendedores.
Typosquatting puede ser un negocio rentable, ya que los actores de amenazas registrarán dominios léxicamente cercanos a grandes marcas o sitios web populares para obtener un gran tráfico. El objetivo final no siempre es monetizar a través de redireccionamientos malvertidos , podría ser phishing, robo de datos o incluso hacktivismo.
En el caso de Giuliani, una figura política pública ha sido identificada por los ciberdelincuentes por su tendencia a los tweets cargados de errores tipográficos. De hecho, la cuenta de Twitter de Giuliani contiene numerosos tweets con errores ortográficos en su sitio web personal que a veces conducen a intentos de trolling o redirigen a esquemas de publicidad maliciosa. Examinamos algunos de estos casos.
El error tipográfico lleva al trolling político
Aquí hay un tweet enviado desde la cuenta de Giuliani usando un iPad. Quien compuso ese tweet olvidó agregar un espacio entre la palabra «Watch» y «rudygiulianics.com».
Como resultado, el sitio web se convierte en Watchrudygiulianics.com, que se registró un día después del tweet:
Nombre de dominio: watchrudygiulianics.com Registrador: GoDaddy.com, LLC Fecha de creación: 2020-02-16T05: 23: 50Z
Visitar el sitio inmediatamente redirige a los usuarios a https://www.drugrehab.com/treatment/, un sitio de ayuda con el abuso de sustancias.
En otro ejemplo , vemos un error tipográfico mucho más sutil para el sitio web de Giuliani, donde falta una ‘i’ en RUDYGIULIANCS.com (el sitio correcto es rudygiulianics.com).
El dominio rudygiuliancs.com también se registró recientemente (pero antes de que se publicara el tweet, por lo tanto, era un registro preventivo para un próximo error tipográfico o tal vez ya se había hecho el error).
Nombre de dominio: rudygiuliancs.com Registrador: Wild West Domains, LLC Fecha de creación: 2020-02-07T16: 30: 38Z
Esta vez, visitar este enlace redirige a los visitantes a una página de Wikipedia para el escándalo Trump-Ucrania:
Malvertising y otros esquemas de tráfico
Como se mencionó anteriormente, los typosquatters generalmente verán los nombres de dominio populares y registrarán nombres nuevos que probablemente serán el resultado de un error tipográfico. Debido a que Giuliani tiene más de 650,000 seguidores en Twitter y es una figura política muy conocida regularmente en los titulares, los estafadores saben que es una buena fuente de tráfico potencial en la web simplemente por el error tipográfico.
En el ejemplo del domingo, un error tipográfico condujo a un esquema de publicidad maliciosa. Esta vez , se insertó un espacio entre «Rudy» y «Giulianics.com».
Este error tipográfico dio como resultado un enlace a Giulianics.com, un dominio registrado a fines de enero.
Nombre de dominio: giulianics.com Registrador: GoDaddy.com, LLC Fecha de creación: 2020-01-31T20: 29: 50Z
Como se ve en la imagen de arriba, una serie de redireccionamientos sucederán una vez que visite ese dominio. Esto es típico para las cadenas de publicidad maliciosa que registran su navegador y otras configuraciones para entregar la carga útil adecuada.
En este caso, al visitar Estados Unidos a través de Google Chrome, recibimos una extensión de navegador llamada Navegación privada:
Aunque no examinamos la extensión en detalle, varios comentarios de Google Play Store dicen que la extensión fue forzada mientras navegaba por la web.
Entre otras capacidades, puede leer el historial de su navegador, los datos que ingresa en los sitios y puede cambiar su motor de búsqueda predeterminado. Como regla general, generalmente se recomienda abstenerse de instalar demasiadas extensiones de navegador, especialmente cuando se promueven a través de redireccionamientos no deseados.
A fines de enero, hubo un informe de que al visitar el sitio web de Giuliani se distribuía malware. No pudimos confirmarlo en ese momento, pero a la luz de la situación actual del error tipográfico, creemos que es más probable que uno de los tweets que contengan el enlace incorrecto conduzca a una cadena de publicidad maliciosa y posiblemente a un bloqueador de navegador.
Monitoreo de cuentas populares por errores
Muchos ataques que vemos en la naturaleza son oportunistas, orando por las últimas noticias o eventos que puedan llamar la atención. También siempre ha habido un gran interés en las cuentas de redes sociales populares, pero generalmente hackeándolas directamente. En este caso, los actores oportunistas están esperando que ocurra el próximo error tipográfico para enviar su propio mensaje o monetizarlo a través de redireccionamientos maliciosos.
Esto sirve como un recordatorio de que incluso las cuentas de redes sociales conocidas o verificadas pueden enviar a los usuarios en direcciones no deseadas que conducen a estafas o malware. En cierto sentido, se puede abusar de cualquier tipo de comunicación para beneficio propio del atacante al reconocer un patrón de errores predecibles e inmediatamente actuar sobre ellos.
Para aquellos que desean protección contra tales redirecciones y otras actividades maliciosas del sitio web, Malwarebytes ofrece una extensión de navegador gratuita que adopta una postura agresiva para bloquear la publicidad maliciosa y otros esquemas dudosos.
Sobre el autor