Muchos ataques de Phishing convencen al receptor del mensaje a seguir un hiperenlace (URL) al servidor del atacante, sin que se den cuenta de que han sido “duped” (ofuscados). Desgraciadamente los phishers tienen acceso a un arsenal cada vez más grande de métodos para ofuscar el destino final de la Web. Los métodos más comunes de la ofuscación de URL incluyen:
1. Dominios de nombre erróneos: Es Uno de los métodos de ofuscación más trivial es a través del registro y el uso determinados nombres de dominio maliciosos. Considere una entidad MiBanco con el dominio registrado “mibanco.com” y la Web Site asociada para transacciones “http://privado.mibanco.com”. El Phisher podría establecer un servidor que utilizará cualquiera de los nombres siguientes tendiendo a ofuscar el servidor verdadero del destino:
• http://privado.mibanco.com.tk
• http://mibanco.privado.com
• http://privado.mibanca.com o aún http://privado.mibánco.com
• http://privado.mibanco.sitiospoof.com
Es importante notar que los registradores de dominio están internacionalizados sus servicios, es posible registrar los nombres del dominio en otros idiomas y sus juegos de caracteres específicos. Por ejemplo, la cirílica "O" parece idéntica al estándar ASCII "O" pero se puede utilizar para propósitos diferentes de registro de dominio – tal como una compañía que registró Microsoft.com en Rusia hace algunos años. Finalmente, resaltar que aún el juego de caracteres estándar ASCII permite ambigüedades tales como la mayúscula “I" y la minúsculas "L". (I Vs l en arial)
2. Friendly login de URL’s: Muchas implementaciones comunes del navegador de Internet tienen en cuenta URL’s complejos que puede incluir información de autenticación tal como un nombre de login y la contraseña. En general el formato es URL: //usuario:contraseña@hostname/path. El Phishers puede sustituir los campos del nombre de usuario y la contraseña con detalles asociados a la entidad del objetivo. Por ejemplo el URL siguiente http://mibanco.com:ebanking@sitiospoof.com/phishing/fakepage.htm pone el nombre de usuario = mibanco.com, la contraseña = ebanking y el hostname de destino = sitiospoof.com. Esta URL de entrada amistosa puede engañar exitosamente a muchos clientes en el pensamiento que ellos visitan realmente la página legítima de MiBanco. A causa de su éxito, en muchas versiones actuales de navegadores ha dejado de funcionar este método de ofuscación.
3. Acortación de la URL por terceros: Debido a la longitud y la complejidad de muchas URL’s de Web, combinado con la manera que la URL puede ser representada y visualizada (p.e. los espacios extra y saltos de línea en la URL), servicios de terceros han aparecido ofreciendo servicios gratuitos designados a proveer de URL’s más cortos. Una combinación de la ingeniería social con una URL deliberadamente rota, larga o inexacta es usado por los Phishers para ofuscar el destino verdadero. Los servicios gratuitos más populares como http://smallurl.com y http://tinyurl.com.
Por ejemplo:
4. Ofuscación de URL: Para asegurar el apoyo a los idiomas locales en el software del Internet tal como navegadores de Internet y Clientes de correo electrónico, la mayoría de los software soportan alternativas de sistemas de codificación. Es una práctica trivial para un Phisher el ofuscar la verdadera naturaleza de una URL suministrada que utiliza una (o una combinación) de estos esquemas de codificación. Estos esquemas de codificación tienden a ser soportados por la mayoría de los navegadores de Internet, y pueden ser interpretados de maneras diferentes por Servidores Web y sus aplicaciones más comunes.
Los esquemas típicos de codificación:
· Escape encoding: Escape-Codificar, o se refiere a veces a tanto por ciento-codificado, es el método aceptado de representar los caracteres dentro de una URL que puede necesitar una sintaxis especial para ser correctamente interpretada. Esto se logra codificando el carácter especial para ser interpretado con una sucesión de otros tres caracteres. Este trío consiste en el carácter del porcentaje "%" seguido por dos dígitos hexadecimales que representan el código de octeto del carácter original. Por ejemplo, el juego de caracteres EEUU-ASCII representa un espacio con el código de octeto 32, o hexadecimal 20. Así su representación de URL-encoded es “% 20”.
· Unicode encoding: Unicode encoding es un método de referenciar y almacenar los caracteres con múltiples bytes proporcionando un número referencial para cada carácter no propio del idioma ni de la plataforma. Se diseña para permitir un Juego de caracteres Universal (UCS) y abarcar la mayor parte de los sistemas de escritura del mundo. Muchos estándares modernos de comunicación (tal como XML, Java, LDAP, el Javascript, WML, etc.), Sistemas operativos y clientes/servidores Web utilizan los valores de Unicode. Unicode (UCS-2 ISO 10646) es un sistema de codificación de caracteres de 16 bits que contiene todos los caracteres (216 = 65.536 caracteres diferentes) de uso corriente en los idiomas más importantes. Las plataformas de Microsoft Windows codifican los caracteres de Unicode en el formato siguiente - %u0000 – por ejemplo %u0020 representa un espacio, mientras %u01FC representa Ǽ y %u221E es ∞.
· Inapropiado UTF-8 encoding: Uno de la mayoría de los formatos comúnmente utilizados, Unicode UTF-8, tiene la característica de preservar la gama repleta de los caracteres EEUU-ASCII. Esta gran flexibilidad proporciona muchas oportunidades para disfrazar los caracteres estándar en grandes secuencias de escape-encoded. Por ejemplo, el punto "." puede ser representado como %2E, o %C0%AE, o %E0%80%AE, o %F0%80%80%AE, o %F8%80%80%80%AE, o aún %FX%80%80%80%80%AE.
· Codificación múltiple: Varias guías y RFC explican con cuidado el método de decodificar los caracteres de escape-encoded e insinúa los peligros asociados con decodificar muchas veces y en múltiples capas de una aplicación. Sin embargo, muchas aplicaciones todavía analizan sintácticamente e inexacta muchas veces los datos escape-encoded. Consecuentemente, los Phishers pueden ofuscar aún más la información de URL codificando muchas veces los caracteres (y de formas diferentes). Por ejemplo, la barra inversa "\" se puede codificar como %25 originalmente, pero podría ser extendido a: %255C, o %35C, o %%35%63, o %25%35%63, etc.
5. Ofuscación del nombre del Servidor: La mayoría de los usuarios de Internet están familiarizados con los sitios y servicios por el nombre calificado del dominio, tal como www.mibanco.com. Un cliente de navegación por Internet necesita, para establecer la comunicación, que esta dirección sea resuelta a una dirección de IP, tal como 209.134.161.35 para llegar al Web Site de www.mibanco.com. Esta resolución de la dirección de IP se logra por servidores de nombre de dominio (DNS). Un Phisher puede utilizar la representación de la dirección de IP como parte de una URL para ofuscar el servidor y evitar posibles sistemas de filtro de contenido, y esconder el destino final. P.e. la URL: http://mibanco.com:ebanking@sitio.com/login.htm podría ser ofuscada como: http://mibanco.com:ebanking@210.134.161.35/login.htm. Mientras algunas victimas conocen la representación clásica de punteó-decimal de direcciones de IP (000.000.000.000), la mayoría de ellas no están familiarizadas con otras representaciones posibles. Utilizar estas otras representaciones de IP dentro de un URL, permiten oscurecer aún más el servidor de destino de una inspección regular.
Dependiendo de la aplicación que interpreta una dirección de IP, es posible que haya una variedad de caminos para codificar la dirección de otra manera que el formato clásico de punteó-decimal. Los formatos alternativos incluyen:
Dword: Significa doble palabra porque consiste esencialmente de dos "palabras" binarias de de 16 bits; pero se expresa en decimal (base 10),
Octal: La dirección es expresada en base 8
Hexadecimal: La dirección es expresada en base 16.
Estos formatos alternativos se explican mejor viendo un ejemplo.
Considere el URL http://www.sitio.com/, resolviéndose a 210.134.161.35. Esto se puede interpretar como:
decimal: http://210.134.161.35/
Dword: http: //3532038435/
Octal: http://0322.0206.0241.0043/
Hexadecimal: http://0xD2.0x86.0xA1.0x23/o aún http: //0xD286A123/
Mezclando formatos: http://0322.0x86.161.0043/).