Acuerdo sobre la filtración de datos de Yahoo!: Una inmersión profunda en los sitios web falsos a través de la supervisión de nombres de dominio

La masiva filtración de datos de Yahoo! que se prolongó desde 2012 hasta 2016 es una de las másnotableshasta la fecha, con 3000 millones de cuentas comprometidas. Los nombres, fechas de nacimiento, direcciones de correo electrónico y números de teléfono de los usuarios, e incluso preguntas y respuestas de seguridad cifradas y sin cifrar, fueron solo algunos de los datos robados y potencialmente vendidos en mercados clandestinos.

La buena noticia es que las personas afectadas ahora pueden reclamar indemnizaciones por los daños y pérdidas sufridos. Pueden obtener dos años de supervisión crediticia gratuita o entre 100 y 25 000 dólares estadounidenses en efectivo como indemnización por robo y posible fraude. Las personas interesadas pueden comprobar si tienen derecho a recibir la indemnización poniéndose en contacto con el administrador del sitio web oficial de indemnizaciones por violación de datos, yahoodatabreachsettlement.com.

Parece que aquellos que sufrieron el ataque a Yahoo! pueden estar tranquilos, ¿verdad? Probablemente no, ya que poco después del anuncio del acuerdo por la violación de datos surgieron nuevas amenazas. Al igual que cuando Equifax anunció los detalles del acuerdo por la violación de datos e informó a las víctimas dónde podían presentar sus reclamaciones, aparecieron varios sitios web falsos que imitaban el sitio web del acuerdo de Yahoo!. Aquellos que no tengan cuidado podrían acabar exponiendo aún más información de identificación personal (PII) en lugar de obtener una compensación por lo que ya perdieron.

Para ilustrar mejor este punto, hemos utilizado varias de nuestras herramientas de inteligencia de dominio para estudiar cómo es el entorno de amenazas emergentes en torno al sitio web de Yahoo! y presentar recomendaciones sobre cómo mitigar los riesgos resultantes.

Producto nº 1: Domain Research Suite

Para empezar, realizamos una búsqueda rápida de dominios recién registrados que se parecían al sitio oficial de Yahoo! utilizando «yahoodatabreachsettlement» como palabra clave y encontramos varias páginas potencialmente dañinas que tenían extensiones .com, .net, .info, .us y otras extensiones de dominio de nivel superior (TLD).

Sin embargo, decidimos centrarnos en las que tenían el dominio .com, ya que la página web oficial de Yahoo! lo utiliza, lo que hace más probable que las 42 páginas falsas sobre acuerdos por violaciones de datos que identificamos sean visitadas por posibles demandantes.

Mediante el uso deDomain Research Suite, hemos recopilado información relevante sobre cada dominio (advertencia: recomendamos no visitar ni compartir ninguno de ellos) en la siguiente tabla:

Observe que todos los dominios son variaciones ligeramente mal escritas del dominio real, lo que es un indicio claro de que se trata de enlaces maliciosos o, como mínimo, ilegítimos. Al fin y al cabo, no es raro conseguir víctimas de phishing a través de URL mal escritas. En este caso, es posible que los phishers hayan registrado dominios muy similares al sitio web de Yahoo! dedicado al acuerdo por la filtración de datos para atrapar a los usuarios que deseen presentar reclamaciones. De esta forma, los phishers podrían obtener las credenciales de Yahoo! de los reclamantes y quedarse con las tasas.

A continuación resumimos nuestras observaciones:

• Alrededor del 79 % de los dominios se registraron entre el 31 de agosto y el 1 de septiembre de 2019, es decir, entre tres y cuatro días antes del anuncio oficial, que se realizó el 4 de septiembre. El 21 % restante se registró después del anuncio, entre el 5 y el 26 de septiembre de 2019. El siguiente gráfico muestra el número de registros de dominios por fecha de creación:
  • 29 de los dominios se registraron el 31 de agosto de 2019
  • 5 cde ada uno se crearon el 1 y el 5 de septiembre de 2019
  • Se registraron 1 cada uno los días 11, 23 y 26 de septiembre de 2019
• Basado en el registrante o registrador registrado para dominios que se registraron de forma anónima o privada:
  • 27 estaban bajo Super Privacy Service LTD c/o Dynadot
  • 5 dependían de Chengdu West Dimension Digital Technology Co., Ltd.
  • 4 estaban bajo Xinnet Technology Corporation
  • 2 estaban bajo Domains By Proxy, LLC
  • 2 tenían datos incompletos
  • 1 estaba bajo Privacy Protect, LLC (PrivacyProtect.org)
• Basado en el país de registro:
  • 31 fueron acogidos en EE.UU.
  • 6 se encontraban en China
  • 6 no indicaron su ubicación
• Si bien la mayoría de los dominios tenían direcciones de correo electrónico correspondientes (es decir, coincidían con sus nombres de dominio), algunos utilizaban las direcciones de sus registradores, a saber:
  • [email protected] para los que son propiedad de Xinnet Technology Corporation
  • [email protected] para la propiedad de Privacy Protect, LLC (PrivacyProtect.org)
• Basándose en la dirección IP:
  • 33 compartían la dirección IP 199.59.242.152 (todos los dominios registrados por Super Privacy Service LTD c/o Dynadot y Xinnet Technology Corporation, junto con los 2 dominios con datos incompletos).
  • 5 compartieron la dirección IP 103.224.182.242 (todos los dominios registrados por Chengdu West Dimension Digital Technology Co., Ltd.).
  • 2 direcciones IP compartidas, entre ellas 45.33.2.79, 96.126.123.244, 45.33.23.183, 198.58.118.167, 45.79.19.196 y 45.56.79.23 (todos los dominios registrados por Domains By Proxy, LLC).
  • 1 utilizó la dirección IP 200.63.47.3 (registrada por Privacy Protect, LLC [PrivacyProtect.org])

Lo que revelan los resultados

Esta proporción del volumen de registros de dominios (que alcanzó su punto máximo antes del anuncio oficial y disminuyó después) no es sorprendente. Al fin y al cabo, los phishers querrían tener sus páginas falsas listas y preparadas para cuando los posibles demandantes vinieran en busca de más detalles sobre cómo reclamar daños y perjuicios y ser los primeros en la cola.

La disparidad entre el número de dominios (42) y los titulares (6), junto con el hecho de que se registraron aproximadamente en las mismas fechas, es indicativa de un registro masivo.

A pesar de omitir información en sus registros WHOIS, es muy probable que yahoodatabreschsettlement(.)com y yahoodatabreschsettlement(.)com se registraran utilizando Super Privacy Service LTD c/o Dynadot, ya que su creación se remonta a la misma dirección IP (199.59.242.152) que el resto de dominios propiedad del registrante.

También cabe destacar que Super Privacy Service LTD c/o Dynadot y Xinnet Technology Corporation compartían la misma dirección IP. Dicho esto, aunque los dominios registrados por Xinnet Technology Corporation no indicaban dónde estaban alojados, sería lógico suponer que se encuentran en el mismo país: Estados Unidos.

Investigación adicional

Cotejamos nuestros hallazgos iniciales sobre el registro de dominios con otros resultados de investigación de WHOIS y encontramos estos sitios web falsos adicionales:

• wwwyahoodatabreachsettlement(.)com
• yahoodatabreach(.)com
• yahoodatabreachlawsuit(.)com
• yahoodatabreachsettlement(.)com
• yahoodatabreachsettelment(.)com
• yahoodatabreachsettement(.)com
• yahoodatabreachsettlement(.)com
• yahoodatabreachsettlment(.)com
• yahoodatabreachssettlement(.)com

Las comprobaciones aleatorias de la fecha de registro de cada sitio web revelaron que estos se registraron incluso antes del 31 de agosto de 2019. Es posible que algunos ya no existan.

Un sitio en particular, yahoodatabreach(.)com, resultó interesante, ya que se creó inicialmente el 8 de marzo de 2017, dos años antes de que se tomara una decisión sobre los términos del acuerdo por la filtración de datos de Yahoo! El registro de este sitio se renovó el 3 de febrero de 2019, aunque se eliminó poco después.

Algunos de los dominios también se registraron hace unos años. Es posible que los ciberdelincuentes anticiparan que los usuarios afectados buscarían información sobre el ataque y esperaran que llegaran a sus sitios web falsos.

Producto nº 2: Reverse IP API

Tras identificar las direcciones IP recurrentes que aparecían en las búsquedas WHOIS inversas que realizamos, analizamos más detenidamente la más destacada: 199.59.242.152 a través deReverse IP API. Esta dirección IP tiene una antigüedad estimada de 3235 días (más de 8 años). Localizamos la organización propietaria y resultó ser una empresa de plataformas de aparcamiento de dominios.

Aunque el aparcamiento de dominios no es ilegal, los ciberdelincuentes suelen comprar dominios aparcados para alojar sus sitios maliciosos. Es muy posible que eso sea lo que haya ocurrido en este caso. Los responsables de los sitios falsos sobre el acuerdo por la filtración de datos de Yahoo! podrían haber comprado los dominios .com que hemos descubierto al por mayor para ahorrar costes, lo que explicaría que tengan la misma fecha de registro.

En la mayoría de los casos de ciberseguridad, la prevención de ataques se logra bloqueando direcciones IP específicas en el lado de la red. Este enfoque evita que los usuarios visiten inadvertidamente sitios potencialmente dañinos o que personas malintencionadas obtengan acceso a los sistemas y datos almacenados en dicha red. Por lo tanto, puede ser una buena idea que las organizaciones bloqueen las direcciones IP vinculadas a los sitios falsos mencionados en esta publicación.

Producto nº 3: Domain Reputation API

Para mostrar mejor la naturaleza maliciosa de estas propiedades online que imitan el sitio web de acuerdos de Yahoo!, utilizamosla API de reputación de dominiospara analizar dos de los dominios falsificados y les asignamos una puntuación entre 0 y 100. Tenga en cuenta que lo ideal es 0, lo que indica que el sitio web es seguro.

• Yahoodatabeeachsettlement(.)com tenía una puntuación de reputación de 66,67. La API emitía una advertencia sobre su novedad, junto con la reciente emisión de su certificado SSL y sus vulnerabilidades.
• Yahoobreachdatasettlement(.)com tenía una puntuación de reputación de 77,41. También se citaron advertencias sobre su corta antigüedad y vulnerabilidades SSL.

Conclusión y buenas prácticas

Según nuestras exhaustivas búsquedas en IP y WHOIS, la mayoría de los dominios potencialmente maliciosos parecen estar simplemente aparcados. Sin embargo, es posible que algunos ciberataques aún se encuentren en preparación.

Independientemente de la motivación, una cosa queda clara: el registro masivo de dominios es una forma en que los typosquatters o cybersquatters ganan dinero.

Los propietarios de los dominios falsificados podrían estar esperando a que otros delincuentes los compren para utilizarlos en ataques de phishing. Al fin y al cabo, es fácil crear un sitio web que recopile las credenciales de Yahoo! de los solicitantes.

Los solicitantes pueden tener cuidado con los ataques de phishing siguiendo estas buenas prácticas:

• Comprueben si el enlace al que intentan acceder es realmente el sitio web oficial de Yahoo! sobre el acuerdo por la filtración de datos. Pueden consultar el sitio web oficial de Yahoo! para obtener más detalles.
• Si reciben un correo electrónico de alguien que dice ser de Yahoo!, pueden llamar a la oficina de la empresa para verificar primero la comunicación. Si la dirección de correo electrónico del remitente aparece en la tabla anterior, probablemente se trate de un correo electrónico de phishing que debe eliminarse inmediatamente.
• Compruebe si hay errores ortográficos y gramaticales en la dirección de correo electrónico del remitente, el contenido del mensaje y el asunto. Estos suelen aparecer en los correos electrónicos de phishing.
• Evite hacer clic en enlaces incluidos en correos electrónicos y descargar archivos adjuntos de remitentes desconocidos. Esta acción puede llevar a los usuarios, sin saberlo, a sitios maliciosos.
• Utilice una solución de seguridad que bloquee el spam y el malware, además del acceso a sitios web maliciosos conocidos.

Por otro lado, Yahoo! y las organizaciones que desean proteger mejor a los reclamantes y otras personas contra el phishing, el typosquatting y la suplantación de sitios web pueden confiar en la variedad de herramientas que ofreceDomain Research Suite:

• Brand Monitorpermite a los usuarios detectar posibles infractores de marcas registradas y otros abusadores de marcas. Gracias a su función de errores ortográficos, los usuarios pueden generar automáticamente una lista de variaciones mal escritas de su dominio para investigarlas más a fondo.
• ConRegistrant Monitor, los usuarios pueden realizar un seguimiento de los registrantes que han cometido infracciones en el pasado.
• Por su parte, Domain Monitor puede ayudar a los usuarios a realizar un seguimiento de los dominios con un historial problemático, de modo que, cada vez que se reutilicen en ataques, puedan eliminarse rápidamente.
• La búsqueda inversa WHOISpermite a los usuarios recopilar información detallada WHOIS correspondiente a un «término de búsqueda» concreto en un dominio, tal y como figura en los registros WHOIS: nombres, números de teléfono, direcciones de correo electrónico, etc.
• La búsqueda del historial WHOISpermite profundizar en el historial de un dominio para consultar todos sus propietarios anteriores, así como otras modificaciones realizadas a lo largo de los años.

Esperamos que esta investigación sobre ciberocupación del sitio web de acuerdos de Yahoo! le haya resultado útil. Para obtener más información sobre Domain Research Suite, no dude enponerse en contacto con nosotrosoregístrese ypruebe la suite.