Acuerdo sobre la filtración de datos de Yahoo!: Una inmersión profunda en los sitios web falsos a través de la supervisión de nombres de dominio

La masiva filtración de datos de Yahoo! que duró de 2012 a 2016 es una de las más notables filtraciones de datos hasta la fecha, con 3.000 millones de cuentas comprometidas. Los nombres de los usuarios, sus cumpleaños, direcciones de correo electrónico, teléfonos teléfono, e incluso preguntas y respuestas de seguridad cifradas y sin cifrar, fueron algunos de los información robada y potencialmente comercializada en mercados clandestinos.

La buena noticia es que los afectados ya pueden reclamar prestaciones por los daños y pérdidas en que hayan incurrido. Pueden obtener dos años de supervisión gratuita de su crédito o entre 100 y 25.000 dólares en efectivo como indemnización por robo y posible fraude. Los interesados pueden comprobar si reúnen los requisitos para pago de liquidación poniéndose en contacto con el administrador del sitio oficial de liquidación por violación de datos, yahoodatabreachsettlement.com.

Parece que los que sufrieron la situación de Yahoo! pueden estar tranquilos, ¿verdad? Probablemente no, ya que nuevas amenazas surgieron poco después del anuncio del acuerdo de la brecha. Al igual que ocurrió cuando Equifax anunció los detalles de su acuerdo de violación e informó a las víctimas de dónde podían presentar reclamaciones, varios sitios web falsos que imitaban el sitio web de liquidación de Yahoo! aparecieron. Quienes no tengan cuidado podrían acabar exponiendo aún más información personal identificable (IPI) en lugar de obtener una remuneración por lo que ya han perdido.

Para ilustrar mejor este punto, hemos utilizado varias de nuestras herramientas de inteligencia de dominio para estudiar qué parece el entorno de amenazas emergentes en torno al sitio de asentamiento de Yahoo! y presentar recomendaciones sobre cómo mitigar los riesgos resultantes.

Producto nº 1: Domain Research Suite

Para empezar, realizamos una búsqueda rápida de dominios recién registrados que se parecían al sitio oficial de Yahoo! utilizando "yahoodatabreachsettlement" como palabra clave y encontramos varias páginas potencialmente dañinas páginas que lucían las extensiones .com, .net, .info, .us y otras extensiones de dominio de nivel superior (TLD).

Sin embargo, decidimos centrarnos en las que lucían el dominio .com, ya que el sitio web oficial de Yahoo! lo utiliza, lo que hace más probable que las 42 páginas falsas de acuerdos de violación de datos que identificamos sean visitadas por posibles demandantes.

Mediante Domain Research Suite recopilamos información pertinente sobre cada dominio (advertencia: recomendamos recomendamos no visitar ni compartir ninguno de ellos) en la siguiente tabla:

Observe que todos los dominios son solo variaciones ligeramente mal escritas del dominio real; una señal reveladora de que son enlaces maliciosos o, como mínimo, ilegítimos. No es infrecuente obtener víctimas de phishing a través de URL mal escritas. En este caso, los phishers pueden haber registrado dominios que se parecían mucho al sitio de liquidación de la violación de datos de Yahoo! para atrapar a los usuarios que desearan presentar reclamaciones. De ese modo, los phishers podían obtener las credenciales de Yahoo! del reclamante y embolsarse los honorarios.

A continuación resumimos nuestras observaciones:

• Alrededor del 79% de los dominios se registraron entre el 31 de agosto y el 1 de septiembre de 2019 - 3-4 días antes de que se hiciera el anuncio oficial el 4 de septiembre. El 21% restante se registró después del anuncio, entre el 5 y el 26 de septiembre de 2019. El siguiente gráfico muestra el número de registros de dominios por fecha de creación:
  • 29 de los dominios se registraron el 31 de agosto de 2019
  • 5 cde ada uno se crearon el 1 y el 5 de septiembre de 2019
  • Se registraron 1 cada uno los días 11, 23 y 26 de septiembre de 2019
• Basado en el registrante o registrador registrado para los dominios que se registraron de forma anónima o de forma privada:
  • 27 estaban bajo Super Privacy Service LTD c/o Dynadot
  • 5 dependían de Chengdu West Dimension Digital Technology Co., Ltd.
  • 4 estaban bajo Xinnet Technology Corporation
  • 2 estaban bajo Domains By Proxy, LLC
  • 2 tenían datos incompletos
  • 1 estaba bajo Privacy Protect, LLC (PrivacyProtect.org)
• Basado en el país de registro:
  • 31 fueron acogidos en EE.UU.
  • 6 se encontraban en China
  • 6 no indicaron su ubicación
• Aunque la mayoría de los dominios tenían direcciones de correo electrónico correspondientes (es decir, coincidían con sus nombres), algunos utilizaban las direcciones de sus registradores, a saber:
  • [email protected] para los que son propiedad de Xinnet Technology Corporation
  • [email protected] para la propiedad de Privacy Protect, LLC (PrivacyProtect.org)
• Basándose en la dirección IP:
  • 33 compartían la dirección IP 199.59.242.152 (todos los dominios registrados por Super Privacy Service LTD c/o Dynadot y Xinnet Technology Corporation, junto con los 2 dominios con datos incompletos)
  • 5 compartían la dirección IP 103.224.182.242 (todos los dominios registrados por Chengdu West Dimension Digital Technology Co., Ltd.)
  • 2 compartieron varias direcciones IP, entre ellas 45.33.2.79, 96.126.123.244, 45.33.23.183, 198.58.118.167, 45.79.19.196 y 45.56.79.23 (todos ellos dominios registrados por Domains By Proxy, LLC)
  • 1 utilizó la dirección IP 200.63.47.3 (registrada por Privacy Protect, LLC [PrivacyProtect.org])

Lo que revelan los resultados

Esta relación del volumen de registro de dominios (que alcanzó su punto máximo antes del anuncio oficial y disminuyó después) no es sorprendente. A fin de cuentas, los phishers querrían tener sus páginas falsas en marcha y listas cuando los demandantes potenciales acudan en busca de más detalles sobre cómo presentar una demanda por daños y perjuicios y ser los primeros en la cola.

La disparidad entre el número de dominios (42) y de registrantes (6), junto con el hecho de estar registrados en aproximadamente las mismas fechas es indicativo de un registro masivo.

A pesar de omitir información en sus registros WHOIS, yahoodatabreschsettlement(.)com y yahoodatabreschsettlement(.)com fueron registrados muy probablemente utilizando Super Privacy Service LTD c/o Dynadot también ya que su creación pudo rastrearse hasta la misma dirección IP -199.59.242.152- que todos los demás dominios propiedad del registrante.

También cabe señalar que Super Privacy Service LTD c/o Dynadot y Xinnet Technology Corporation compartían la misma dirección IP. Dicho esto, aunque los dominios registrados por Xinnet Technology Corporation no indicaban dónde estaban alojados, sería seguro suponer que se encuentran en el mismo país: Estados Unidos.

Investigación adicional

Cruzamos nuestros hallazgos iniciales de registro de dominio con otros resultados de investigación WHOIS y encontramos estos sitios web falsos adicionales:

• wwwyahoodatabreachsettlement(.)com
• yahoodatabreach(.)com
• yahoodatabreachlawsuit(.)com
• yahoodatabreachsettlement(.)com
• yahoodatabreachsettelment(.)com
• yahoodatabreachsettement(.)com
• yahoodatabreachsettlement(.)com
• yahoodatabreachsettlment(.)com
• yahoodatabreachssettlement(.)com

Las comprobaciones aleatorias de la fecha de registro de cada sitio revelaron que éstos se registraron incluso antes del 31 de agosto de 2019. Es posible que algunos ya no existan.

Un sitio en particular - yahoodatabreach(.)com - resultó interesante ya que fue creado inicialmente el 8 de ¡marzo de 2017, dos años antes de que se tomara una decisión sobre los términos del acuerdo de violación de Yahoo! El registro de este sitio se renovó el 3 de febrero de 2019, aunque se eliminó poco después.

Algunos de los dominios también fueron registrados hace unos años. Los ciberdelincuentes pueden haber estado anticipando que los usuarios afectados buscarían detalles sobre el compromiso y esperaban que aterrizaran en sus sitios web falsos.

Producto nº 2: Reverse IP API

Una vez identificadas las direcciones IP recurrentes que figuraban en las búsquedas WHOIS inversas que realizamos, echamos un vistazo más de cerca a la más destacada: 199.59.242.152 a través de Reverse IP API. Esta dirección IP tiene una antigüedad estimada de 3.235 días (más de 8 años). Rastreamos la organización que la posee y resultó ser una empresa de plataformas de aparcamiento de dominios.

Aunque el aparcamiento de dominios no es ilegal, los ciberdelincuentes suelen comprar dominios aparcados para alojar sus maliciosos. Ese podría muy bien haber sido el caso aquí. Los que están detrás de los falsos sitios de liquidación de la violación de datos de Yahoo! podrían haber comprado los dominios .com que descubrimos al por mayor para ahorrar costes, lo que explica la misma fecha de registro.

En la mayoría de los casos de ciberseguridad, la prevención de ataques se consigue bloqueando direcciones IP específicas en el lado de la red. Este enfoque impide que los usuarios visiten inadvertidamente sitios potencialmente dañinos o que individuos malintencionados accedan a los sistemas y datos almacenados en dicha red. De modo que puede ser una buena idea para las organizaciones bloquear las direcciones IP vinculadas a los sitios falsos mencionados en este post.

Producto nº 3: Domain Reputation API

¡Para mostrar mejor la naturaleza maliciosa de estas propiedades en línea que imitan el asentamiento de Yahoo! utilizamos Domain Reputation API para analizar dos de los dominios falsificados y darles una puntuación entre 0 y 100. Observe que la ideal es 0, lo que indica que es seguro acceder al sitio.

• Yahoodatabeeachsettlement(.)com tiene una puntuación de reputación de 66,67. Una advertencia de su novedad fue emitido por la API junto con su muy reciente emisión de certificados SSL y sus vulnerabilidades.
• Yahoobreachdatasettlement(.)com tiene una puntuación de reputación de 77,41. Las advertencias sobre su corta edad y las vulnerabilidades SSL.

Conclusión y buenas prácticas

Basándonos en nuestras profundas búsquedas de IP y WHOIS, la mayoría de los dominios potencialmente maliciosos parecen estar únicamente aparcados. Sin embargo, algunos ciberataques podrían estar aún en ciernes.

Independientemente de la motivación, una cosa queda clara: el registro masivo de dominios es uno de los medios por los que los "typosquatters" o "cybersquatters" ganan dinero.

Los propietarios de los dominios falsificados podrían estar esperando a que otros delincuentes los compren para utilizarlos en ataques de phishing. A fin de cuentas, es fácil montar un sitio que recoja las credenciales de los solicitantes de Yahoo!

Los solicitantes pueden tener cuidado con los ataques de phishing siguiendo estas buenas prácticas:

• Verifique si el enlace al que intentan acceder es realmente el sitio web oficial de Yahoo! para la resolución de la violación de datos ¡de Yahoo! Pueden consultar el sitio oficial de Yahoo! para obtener más detalles.
• Si reciben un correo electrónico de alguien que dice ser de Yahoo!, pueden llamar a la oficina de la empresa para verificar primero la comunicación. Si la dirección de correo electrónico del remitente aparece en la tabla anterior, probablemente se trate de un correo electrónico de phishing que debe eliminarse inmediatamente.
• Compruebe si hay erratas y errores gramaticales en la dirección de correo electrónico del remitente, el contenido del mensaje y el línea de asunto. Suelen encontrarse en los correos electrónicos de phishing.
• Evite hacer clic en enlaces incrustados en correos electrónicos y descargar archivos adjuntos de remitentes desconocidos. Esta acción puede llevar a los usuarios, sin saberlo, a sitios maliciosos.
• Utilice una solución de seguridad que bloquee el spam y el malware, así como el acceso a conocidos maliciosos conocidos.

Por otra parte, Yahoo! y las organizaciones que deseen proteger mejor a los demandantes y a otras personas contra el phishing, typosquatting y suplantación de sitios web pueden confiar en la variedad de herramientas que ofrece Domain Research Suite:

• Brand Monitor permite a los usuarios detectar posibles infractores de marcas y otros abusadores de marcas. Utilizando su función de errores tipográficos, los usuarios pueden generar automáticamente una lista de variaciones mal escritas de su dominio para su posterior investigación.
• Con Registrant Monitor, los usuarios pueden vigilar a los solicitantes de registro que hayan cometido irregularidades en el pasado.
• Domain Monitor, por su parte, puede ayudar a los usuarios a realizar un seguimiento de los dominios con pasados turbios, de modo que cualquier vez que estos sean reutilizados en ataques, podrían ser retirados rápidamente.
• Reverse WHOIS Search permite a los usuarios recopilar información detallada de WHOIS correspondiente a un determinado «término de búsqueda» de un dominio tal y como figura en los registros WHOIS: nombres, números de teléfono, direcciones de correo electrónico, etc.
• WHOIS History Search permite profundizar en la historia de un dominio para comprobar todos sus propietarios anteriores, así como otras modificaciones a lo largo de los años.

Esperamos que esta investigación sobre la ciberocupación del sitio de liquidación de Yahoo! le haya resultado útil. Para obtener más información sobre Domain Research Suite, no dude en ponerse en contacto con nosotros o regístrese y haga una prueba.