Básicamente, todas las formas de phishing pueden describirse como tácticas de ingeniería social entregadas electrónicamente. En un típico ataque de phishing de nombre de dominio, un pirata informático envía correos electrónicos de phishing al administrador de un sitio web, con el objetivo de que facilite las credenciales de acceso al panel de control del alojamiento.
A partir de ahí, el atacante puede causar estragos al desviar el tráfico web a un dominio malicioso, realizar cambios en el sitio, o secuestrar el dominio para exigir un rescate.
¿Cómo funciona el phishing de nombres de dominio?
En principio, los villanos especializados en este tipo de irrupciones comienzan con una cuidadosa selección de sus objetivos.
Normalmente, se decantarán por atacar a empresas, ya que la caza mayor puede reportarles más beneficios que una web personal.
Pero a nadie le haría gracia que su dominio se utilizase para fines inconfesables.
Qué información buscan los villanos
- ¿Qué empresa de alojamiento web usa el objetivo?
- ¿Dónde tiene registrado el dominio?
- ¿Quién tiene acceso administrativo al panel de control?
- ¿A quién pueden suplantar para ganarse la confianza del administrador?
- ¿A qué dirección de correo electrónico deben enviar los correos de phishing?
Los delincuentes pueden responder fácilmente a estas preguntas accediendo a la información disponible públicamente, como por ejemplo la publicada en el WHOIS.
Un protocolo que permite determinar quien es el propietario de un nombre de dominio, o a quien pertenece una dirección IP.
Pero si el registrador del dominio tiene activadas las opciones de privacidad, la información obtenida será genérica, lo que frustrara en gran medida los intentos del pirata informático.
Perpetrando el ataque
Habiendo seleccionado un objetivo, comenzarán a pensar en los métodos a emplear para realizar el ataque con éxito.
Un enfoque «minimalista» podría implicar la creación de un correo electrónico falsificado, que se haga pasar por el proveedor de alojamiento web, diciendo que han tenido un problema en el servidor y han perdido nuestras credenciales de acceso.
Algo más sofisticado podría ser la creación de un dominio que se haga pasar por la página de inicio de sesión del panel de control.
Un correo electrónico de phishing que parece proceder del registrador del dominio, podría pedir al administrador de un sitio iniciar sesión en un portal falso con el objetivo de que facilite las credenciales de acceso al atacante.
Maneras de defenderse contra el phishing de nombres de dominio
Ahora que hemos expuesto de forma esquemática la metodología y el impacto del phishing de nombres de dominio, centrémonos en la solución.
La Corporación de Internet para Nombres y Números Asignados (ICANN) requiere que la dirección postal, el número de teléfono y la dirección de correo electrónico de quienes poseen o administran un nombre de dominio se pongan a disposición del público a través de la base de datos de WHOIS.
Una de las tácticas favorita de los malos es acceder a esa base de datos para enviarle al dueño de la página correos electrónicos de phishing dirigido.
Por lo tanto, la forma principal en que podemos defendernos contra este tipo de ataque, es ocultar nuestra identidad real mediante la privacidad de WHOIS.
La mayoría de los registradores de dominios ofrecen la posibilidad de contratar el servicio de privacidad para esta plataforma que oculta la información privada y la de contacto, reemplazándola por otra más genérica.
Esto puede evitar que esos insidiosos correos electrónicos de phishing de nombres de dominio, junto con los de spam, campañas de telemarketing, suplantación de identidad, acoso, vulneración de privacidad, etc., lleguen a nuestra bandeja de entrada.
Otra medida que podemos tomar para proteger nuestro nombre de dominio y contribuir un poco a la seguridad general del Sistema de Nombres de Dominio (DNS), es firmar todos los datos asociados con DNSSEC.
En ningún caso, hay que facilitar nuestras credenciales de acceso.
La empresa donde tenemos registrado nuestro dominio, y nuestro proveedor de alojamiento web, nunca nos van a solicitar esta información: no les hace falta para poder ofrecernos sus servicios.
Estos datos son necesarios únicamente para que nosotros podamos acceder al Panel de Control.
En este sentido, si nos llega una solicitud de este tipo mediante correo electrónico, podemos estar seguros al cien por cien de que se trata de un burdo intento de phishing.
