Hace algo más de una semana, te explicábamos la importancia de conocer las partes de que se compone una URL (dirección web), como medio de evitar caer en una nueva estafa potencial desencadenada por un lanzamiento de Google.
Recapitulemos: recientemente, Google empezó a comercializar nuevas extensiones de dominio, varias de las cuales coincidían también con extensiones de archivo (como .zip o .mov), lo que facilitaba que te redirigieran a webs maliciosas cuando tú estabas convencido de estar descargando un archivo comprimido o de vídeo desde webs 100% legítimas.
En el momento en que publicamos aquel artículo, aún no se había detectado su uso por parte de grupos de cibercriminales. Pero ya existían variantes de esa idea: una de ellas, propuesta por un experto en ciberseguridad, en lugar de limitarse a descargar un fichero ZIP malicioso desde un dominio .zip, hacía que éste intentara suplantar a todo un explorador de ficheros o un programa de compresión/descompresión de archivos.
Los usuarios más avanzados posiblemente no caigan en el engaño (aunque todos bajamos la guardia en algún momento y hacemos clic en algo cuando tenemos la atención en otra parte), pero desde luego muchos usuarios con conocimientos básicos sí pueden caer.
En realidad, la idea es sencilla: se te hace llegar un enlace a un aparente archivo ZIP, y cuando lo abres en el navegador la pestaña se ve aparentemente sustituida por una ventana de WinRAR (ver imagen principal del artículo) o del Explorador de Windows (ver más abajo). Solo que no hay tal ventana: sigue siendo una página web que reproduce con sorprendente fidelidad la estética de esa aplicación.
Falso Explorador de Windows
Para poner online una web con ese aspecto, el ciberestafador no necesita más que ficheros HTML y CSS, que podemos encontrar en cualquier web. Ya hablamos recientemente en Genbeta del potencial de CSS para reproducir fielmente imágenes vectoriales.
Por supuesto, en cada caso encontraremos funcionamientos y funcionalidades distintas. En el ejemplo que nos proporciona este investigador, su 'copia' de WinRAR muestra mensajes indicando que los archivos son seguros si usamos el botón 'Scan', y descarga archivos cuando usamos el botón 'Extraer'.
Esta descarga no es el comportamiento habitual de WinRAR, pero ya hemos visto recientemente otras estafas en las que esto ha funcionado. Por cierto, el archivo que se descarga ni siquiera es uno de los indicados en el falso listado de archivos de la ventana del WinRAR 'fake', sino el que prefiera el ciberestafador en cada momento (normalmente, claro, un ejecutable con malware).
El engaño se evita si nos fijamos bien en la interfaz de la ventana en la que hacemos clic, y nos fijamos en que la misma tiene situada encima los controles típicos de un navegador web, que nunca veríamos en la clase de aplicaciones que trata de suplantar esta técnica:
Fuente e imágenes | mrd0x.com
En Genbeta | Qué es el typosquatting, cómo funciona y cómo puedes protegerte de este tipo de estafa
