Para entender mejor los URLs maliciosos, puede ayudar dividirlos en dos categorías generales: 1) URLs que utilizan la ingeniería social para hacer que los usuarios den clic en ellos, y 2) técnicas que no involucran la ingeniería social, pero que emplean diversos medios tecnológicos.
Para el primero, el tipo más común, según Felipe Araya, country manager de Trend Micro Chile, la idea principal es el engaño y la redirección. En principio, el criminal engaña al usuario para que dé clic en un enlace y después lo redirecciona a otro lugar. Ahí es donde comienza el problema. La ingeniería social tiene un papel importante en este engaño. Usando varios eventos y asuntos como carnada, los usuarios son engañados y manipulados para dar clic en el URL malicioso. Uno de los ejemplos más populares es la inclusión de URLs maliciosos en el spam, y una creciente cantidad de spam de mensajería instantánea (IM) (también conocido como spim). Probablemente usted recibe muchos de estos URLs maliciosos con el correo no deseado a diario. Pero este tipo de URL malicioso también abarca otros vectores, como el chat por IRC (especialmente en Europa) y varias redes sociales en línea.
La ingeniería social es una herramienta poderosa para los ciber criminales. Probablemente se haya sentido interesado en leer algunos de los títulos del spam que recibe: Continúa la Destrucción en China, Se Cancelan los Juegos Olímpicos, Maneje con Manos Libres (una nueva ley para teléfonos celulares en California emitida el 1 de julio), Se suspende su cuenta de Google Adword, o tal vez el menos creíble Ahorre Gasolina Usando Agua como Combustible. La noticia que se explota incluye noticias actuales sobre política, eventos religiosos, culturales, sociales, ambientales y tecnológicos; y noticias de gente famosa, incluyendo políticos, actores, hombres de negocio, etcétera. Los eventos también incluyen días festivos o celebraciones de naturaleza religiosa, política o social, así como acontecimientos actuales que captan una mayor atención, como nuevos líderes políticos, noticias de celebridades, tragedias, desastres naturales, etc. Los criminales utilizan cada uno de estos para hacer que los usuarios den clic en sus URLs maliciosos.
En un giro interesante de la ingeniería social, unos vendedores maliciosos publicaron un atractivo anuncio en un popular sitio de comercio electrónico de un auto a un precio muy bajo. Estos vendedores captaron la atención al emplear un truco de scripting para aumentar sus ventas, dándoles un elevado estatus. Jugando con la curiosidad de los compradores del sitio web, esta página aparentemente legítima contenía una etiqueta que apuntaba a un archivo Shockwave, que direccionala a los usuarios a una página .ASPX hospedada en Rusia.
Muchos URLs maliciosos son parte de una cadena de infección, una cadena de eventos que llevan a la infección de un dispositivo o un sistema. Y una cadena de eventos es el corazón del segundo tipo de URLs maliciosos mencionados anteriormente. En esta técnica, los usuarios se encuentran con el código malicioso por accidente, o por simplemente navegar en el lugar equivocado en el momento más inoportuno. Si bien estos URLs maliciosos no acorralan en un inicio al usuario a través del engaño, a menudo utilizan la ingeniería social para llevar a cabo sus malvados propósitos.
Un ejemplo de este segundo tipo de URL malicioso es un dominio que se hace pasar por otro cuando se comete un error tipográfico. Los ciber criminales anticipan errores comunes o faltas de ortografía de sitios Web importantes, y cuando el usuario escribe estos URLs (por ejemplo, usted escribe www.trendmicro.com), son redirigidos a un sitio operado por estos criminales. En otro ejemplo, los criminales envenenan la base de datos de índices de Google con decenas de miles de URLs hackeados, de modo que cuando los usuarios realizan búsquedas, pueden llegar a un sitio controlado por estos criminales. En otros casos, los usuarios ni siquiera tienen que dar clic en un URL malicioso para infectarse; con sólo visitar algunas páginas comprometidas lleva a los usuarios a través de un iframe a un sitio malicioso. De igual forma, algunos anuncios en línea maliciosos utilizan pop unders, en lugar de pop ups, que usted no puede ver, y que dirigen a los usuarios a sitios maliciosos.
Prácticamente ninguna marca es inmune a ser comprometida y convertirse en el destino (o el paso intermedio) a los URLs maliciosos. El sitio web de Trend Micro fue falsificado en un ataque de robo de información en Brasil en mayo de 2008. El spam que advertía a los usuarios sobre una falla de seguridad irónicamente llevaba a dicha falla cuando el receptor daba clic en el URL malicioso para activar su buzón de entrada. Cuando se daba clic a este enlace se descargaba un spyware troyano diseñado para robar información de cuentas bancarias.
Mientras Internet siga siendo un destino popular y se sigan sumándose nuevos usuarios, habrá URLs maliciosos. Sin embargo, usted puede implementar comportamientos y tecnologías para evitar sus efectos adversos.
La vigilancia, como con otras amenazas Web, es un arma importante contra los URLs maliciosos. Si usted recibe un correo electrónico que suena demasiado bien para ser verdad, probablemente lo sea. Si recibe un correo electrónico con información sorprendente que no solicitó, probablemente no deba leerlo ni dar clic en ningún URL. Si su mejor amigo le dice algo que no cree en un correo electrónico, su mejor amigo probablemente no envío el correo electrónico, y su contenido tiene malas intensiones. Por desgracia, vivimos en un mundo donde una gran cantidad de nuestro correo electrónico, mensajes instantáneos e incluso los mensajes de texto de nuestro teléfono son fraudulentos. Muchos de estos mensajes pretenden explotar su identidad (y sus cuentas bancarias) sin su conocimiento.
Así que ignore los correos electrónicos extravagantes y demasiado buenos para ser ciertos, especialmente si llegan escritos con errores ortográficos y una gramática pobre. Si recibe algo que parece información real, coja el teléfono y verifique la información antes de actuar (o dar clic). Puede parecer tonto llamar a alguien sobre un correo electrónico que (supuestamente) envió, pero así son las cosas hoy en día.
Algunos usuarios creen que pueden decir si un URL es legítimo al pasar el cursor sobre el vínculo, sin dar clic en él, para ver el URL real antes de ir a él. Sin embargo, un truco común que utilizan los ciber criminales involucra colocar el nombre de un sitio web legítimo en la parte del subdominio del URL, esperando engañar a estos usuarios del mouseover (esto es pasar el ratón sobre un enlace). Por ejemplo, http://itw.trendmicro.com es un URL legítimo porque el dominio es trendmicro.com. Sin embargo, http://trendmicro.gjkzx.com podría ser no legítimo porque el dominio real es gjkzx.com. Alguien que tenga un dominio puede llamar el subdominio cuando quiera. Pasar el cursor sobre un URL también es una práctica peligrosa; si es malicioso y usted da clic accidentalmente en él, puede haber problemas. Así que realice esta práctica con cuidad.
Actualizarse a las versiones más recientes de los navegadores Web es una excelente idea. En las recientes semanas, los navegadores más importantes han liberado nuevas versiones. El 17 de junio de 2008, Mozila liberó Firefox 3, que incluye medidas estrictas anti-phishing y anti-malware, así como un sitio de información. (Firefox 3 se descargó más de 8 millones de veces en un solo día). También se recomienda habilitar la opción de actualización automática.
Otra opción a considerar es TrendProtect. Este plug-in gratuito para navegadores de Trend Micro le ayuda a evitar páginas Web con contenido no deseado y amenazas ocultas. TrendProtect evalúa la página actual y las páginas listadas en los resultados de búsquedas de Google, MSN, y Yahoo!. Usted puede usar esta función para decidir si quiere visitar o evitar una página Web dada. Para evaluar las páginas Web, TrendProtect consulta una amplia base de datos que cubre la siguiente información de miles de millones de páginas Web:
Categoría por contenido.
Detección de phishing.
Reputación de sitios.
Reputación de página.
También podría considerar Trend Micro Internet Security 2008, que incluye características que le permiten dar clic sin que tenga que preocuparse. Utiliza una estructura de protección contra amenazas Web para categorizar e identificar URLs sospechosos. Si un URL de un correo electrónico es de un sitio malo conocido, evita que el usuario dé clic en él.
