¿Sabes cómo detectar phishing domains? Existen herramientas que nos permiten rastrear ataques de phishing antes de que estos lleguen a nuestros sistemas. El equipo de ciberseguridad de una compañía puede realizar estos análisis como parte de sus protocolos. La búsqueda de ciberataques potenciales es una práctica común en la defensa informática y se conoce bajo el nombre de threat hunting.
En este post, te enseñaremos una forma de hacer threat hunting enfocada a uno de los ataques más comunes de ingeniería social: cómo detectar phishing domains.
Qué es threat hunting
El threat hunting, según fuentes como Infosec Institute y Security Intelligence, se refiere a la persecución activa de amenazas cibernéticas a un sistema. Esta búsqueda exhaustiva de peligros en el sistema permite anticiparse a los ataques que el equipo de ciberseguridad no ha previsto.
Existen diferentes tipos de threat hunting. Por ejemplo, uno de ellos es buscar información reciente sobre nuevos tipos de ciberataque, que los criminales a veces comparten entre sí. La habilidad para infiltrarse en estos foros y adquirir conocimientos de ellos es una forma de threat hunting.
Otra forma de threat hunting, enfocada en el phishing, es la de buscar activamente dominios que podrían haber sido diseñados para esta práctica. A continuación, te enseñaremos cómo detectar phishing domains, que es otra forma de protegerse contra este tipo de ataques.
Cómo detectar phishing domains
Existen diferentes herramientas para encontrar qué sitios web se podrían estar usando para el phishing. Detectar estas web falsas te permitirá bloquearlas antes de que intenten un ataque sobre los usuarios de tu sistema. Este tipo de threat hunting podría evitar una estafa de phishing en una organización.
Las dos herramientas para detectar phishing domains, que veremos a continuación, son Phishing Catcher y Miteru. Estos programas analizan los dominios que se están creando en la web para revisar si sus nombres o sus contenidos son sospechosos.
Phishing Catcher
🔴 ¿Quieres entrar de lleno a la Ciberseguridad? 🔴
Descubre el Ciberseguridad Full Stack Bootcamp de KeepCoding. La formación más completa del mercado y con empleabilidad garantizada
👉 Prueba gratis el Bootcamp en Ciberseguridad por una semanaPhishing Catcher es un programa que analiza los dominios web que se crean y señala todos los que tengan nombres sospechosos. Por ejemplo, si el dominio tiene el nombre de Amazon, pero no pertenece a la compañía, el programa lo señala en rojo y tú puedes acceder al sitio, analizarlo y bloquearlo.
Phishing Catcher no tiene la opción de analizar solo ciertos nombres de dominio, pero como el código fuente es en Python, es útil conocer el lenguaje para poder hacerle este tipo de ajustes a la herramienta.
Miteru
Miteru es un programa que analiza dominios web en búsqueda de phishing kits. Un phishing kit es un conjunto de plantillas de páginas web falsas que utilizan los ciberdelincuentes para sus estafas. Miteru detecta estos phishing kits y da avisos sobre los sitios web que los utilizan.
Cómo detectar domain squatting
Ahora que hemos terminado de ver estas dos herramientas, veremos una forma más de cómo detectar phishing domains, basada en la técnica del domain squatting.
El domain squatting o cybersquatting es una práctica que acostumbran los delincuentes. Esta consiste en comprar nombres de dominio muy similares a los de alguna página para hacer un fraude. Por ejemplo, los atacantes compran el nombre de un sitio famoso, pero con faltas de ortografía.
Existen diferentes formas de hacer domain squatting:
- Omitir caracteres.
- Repetir caracteres.
- Intercambiar caracteres.
- Omitir o añadir guiones o puntos.
- Incluir faltas ortográficas.
- Intercambiar vocales.
- Soundsquatting (caracteres homófonos).
- Modificación del TLD. (.com, .es, .org, etc.).
Las páginas web como Amazon, Netflix, PayPal, etc. suelen comprar toda una serie de nombres de dominio para redireccionarlas a sus sitios. De este modo, evitan que se usen con el fin de hacer una suplantación de identidad y robar a la víctima en un ataque de phishing.
Los programas que te permitirán analizar nombres de dominio similares a los de una página web en específico son:
- DNStwist.
- URLcrazy.
- URIDeep.
Estos programas te ayudarán a generar nombres de dominio similares a los del sitio web que les indiques y a identificar cuáles han sido registrados para que los investigues. Así, podrías ir un paso por delante de los ataques.
Aprender cómo detectar phishing domains te permitirá adelantarte a impedir ataques a tu sistema. Sin embargo, no es la única medida que debes aplicar para protegerte del phishing.
Más formas de protegerse del phishing
La búsqueda activa de amenazas y saber cómo detectar phishing domains te ayudará a anticiparte a posibles ataques. Sin embargo, debes tener en cuenta que la concienciación y la capacitación de equipo también es un aspecto clave de la protección ante el phishing. Por lo tanto, el threat hunting debe ser una medida complementaria en tu sistema de defensa contra el phishing, además de las campañas de información.
En un ataque de ingeniería social como el phishing, el eslabón más débil de tu sistema es el usuario. Un empleado que haya recibido un mensaje incorrecto podría clicar en un enlace malicioso y revelar los datos de su tarjeta de crédito, contraseñas, nombre de usuario, etc.
Una de las mejores formas de protección contra el phishing es la de hacer campañas informativas al respecto. De hecho, puedes realizar un ataque controlado a la compañía, por medio de herramientas como GoPhish, y preparar a los usuarios para un posible ataque.
¿Cómo aprender más?
El phishing es uno de los ataques más comunes que sufren los sistemas actualmente. Saber cómo protegerte es clave para evitar pérdidas de dinero, datos, ataques de malware y ransomware.
Ahora que has aprendido cómo detectar ataques de phishing, puedes continuar transformándote en un experto en ciberseguridad. Visita nuestro Ciberseguridad Full Stack Bootcamp y conviértete en un especialista en menos de 7 meses. ¡Apúntate!
