Según un nuevo informe de BlueVoyant, los ciberdelincuentes han incrementado el uso de dominios similares para facilitar diversas estafas de ingeniería social y fraude financiero dirigidas por correo electrónico.

Estos ataques son particularmente difíciles de detectar y permiten a los atacantes ampliar el tipo de organizaciones e individuos que son el objetivo de estas estafas.

Los investigadores descubrieron que los actores de amenazas atacan diversos sectores críticos a través de estos dominios, como el financiero, el de servicios legales, el de seguros y el de la construcción.

Los dominios similares están diseñados para asemejarse a los dominios auténticos, utilizando sutiles modificaciones para parecer legítimos a las víctimas.

Los métodos comunes incluyen el uso de caracteres visualmente similares, como reemplazar una «o» por un «0» o una «i» por un «1», e incorporar términos estrechamente relacionados con la marca del cliente.

Además, el uso de diferentes dominios de nivel superior (TLD) permite que el nombre de dominio sea una copia casi exacta del original, pero con un TLD diferente.

Los ataques que aprovechan las estafas de dominios similares suelen comenzar con el registro de un dominio que se asemeja mucho a una marca reconocida. Tras asegurar el dominio, los atacantes configuran servidores de correo electrónico para facilitar la distribución de comunicaciones engañosas.

A continuación, compilan una lista de posibles víctimas, a menudo utilizando información obtenida de fuentes públicas, filtraciones de datos previas o redes sociales. Esta información les permite adaptar sus comunicaciones a organizaciones e individuos específicos.

Finalmente, se envían correos electrónicos de ingeniería social a los objetivos desde el dominio similar, empleando diversas tácticas para engañar a los destinatarios y conseguir que proporcionen información confidencial, autoricen pagos o hagan clic en enlaces maliciosos.

El informe destacó varias campañas recientes que utilizan dominios similares. En un caso, los actores de amenazas configuraron un dominio que suplantaba la identidad de una institución financiera.

La campaña de correo electrónico utilizaba un asunto que hacía referencia a una transacción financiera importante y estaba dirigida a múltiples destinatarios, imitando la comunicación empresarial habitual. El nombre y los datos de contacto del remitente se falsificaron para que coincidieran con los de un empleado real y pareciera más legítimo.

El correo electrónico contenía un archivo adjunto cuyo objetivo era proporcionar «datos de cuenta actualizados» e instar al destinatario a procesar un pago.

Esta táctica se diseñó para eludir las comprobaciones habituales de las transacciones financieras, persuadiendo a los destinatarios a interactuar con el contenido del correo electrónico.

Otras tácticas comunes que utilizan dominios falsos incluyen:

Estafas con facturas: Suplantación de la identidad de proveedores o prestadores de servicios legítimos para enviar facturas falsas diseñadas para desviar pagos a la cuenta del estafador.
Suplantación de identidad de ejecutivos: Estos correos electrónicos se hacen pasar por figuras de confianza dentro de una organización, como ejecutivos, y realizan solicitudes urgentes de información confidencial y transferencias de fondos no autorizadas.
Apropiación de cuentas: Suplantación de identidad de una empresa y solicitud a clientes o socios para verificar información confidencial y realizar cambios en las cuentas, con el objetivo de apropiarse de las cuentas de usuario o robar credenciales.
Estafas de contratación: Suplantación de identidad de empresas o agencias de contratación para anunciar ofertas de empleo falsas, solicitando información personal como números de la seguridad social o datos bancarios.
Phishing: Estas estafas consisten en dirigir a las víctimas a un sitio web fraudulento que imita fielmente a uno legítimo, con el fin de obtener información confidencial, como credenciales de inicio de sesión y números de tarjetas de crédito.

Los investigadores afirmaron que el uso de dominios similares permite a los atacantes ampliar el riesgo de estas estafas más allá de los círculos habituales de víctimas. Esto incluye atacar a empresas externas que trabajan con un cliente o a personas que buscan empleo.

El informe señaló que detectar dominios similares es un desafío significativo, especialmente cuando los nombres de los clientes son genéricos o consisten en iniciales.

Los investigadores instaron a las organizaciones a comprender el uso cambiante de los dominios similares, implementar una monitorización rigurosa para identificarlos y colaborar con los registradores y proveedores de alojamiento para agilizar las solicitudes de eliminación cuando se detecte actividad legítima.