Phishing con Unicode, el truco invisible tras enlaces falsos

1. El caso de Booking.com y el arte de disfrazar enlaces

Recientemente, se ha detectado una campaña de phishing dirigida a usuarios de Booking.com donde los atacantes utilizan un carácter Unicode para engañar al usuario.

En este caso, reemplazan la barra inclinada “/” en la URL por el carácter hiragana japonés "ん" (Unicode U+3093), que en ciertos tipos de letra se confunde visualmente con una barra o el símbolo “/~” .

🔍 Por ejemplo, un enlace que aparenta ser: [ https://admin.booking.com/... ]

⚠️ Realmente apunta a: [ https://account.booking.comんdetailんrestric-access.www-account-booking.com/en/ ]

✅ Donde el dominio real es [ www-account-booking.com ], oculto detrás de esos caracteres engañosos.

¿El objetivo? distribuir malware como infostealers y troyanos de acceso remoto (RAT) mediante un instalador .MSI alojado en un CDN.

2. ¿Qué es un ataque homógrafo Unicode?

Este tipo de ataque pertenece a los llamados IDN homograph attacks o ataques homógrafos, donde se explotan caracteres Unicode visualmente similares (homoglyphs) para imitar dominios legítimos.

➡️ Ejemplos típicos:

Letra “а” latina (U+0061) versus “а” cirílica (U+0430).

“l” (ele minúscula), “I” (i mayúscula), “1” (uno), fácilmente confundibles en algunas fuentes.

La diferencia clave entre homógrafo y typosquatting es que el primero tiene casi la misma apariencia visual, mientras que el segundo se basa en errores tipográficos comunes.

3. Casos adicionales de abuso de Unicode en phishing

➡️ Apple homógrafo con Punycode

• El investigador Xudong Zheng demostró cómo registrar un dominio que parece "apple.com" pero está completamente compuesto de caracteres cirílicos y se muestra como tal, aunque en realidad sea algo como xn--80ak6aa92e.com .

➡️ PayPaӏ.com (letra “ӏ” cirílica)

• El carácter cirílico "ӏ" (U+04CF) reemplaza a la "l" latina, dando lugar a dominios como paypaӏ.com, que engañan visualmente y pueden pasar filtros de seguridad.

➡️ Ejemplos complejos en emails

• Se han detectado emails de phishing donde múltiples carácteres en el cuerpo y asuntos son reemplazados por homoglyphs, como en un ataque dirigido a Microsoft 365. Incluso el nombre del remitente y el contenido interno pueden contener engaños visuales con caracteres no ASCII .

➡️ Técnicas avanzadas

• Proyectos como ShamFinder y PhishGAN apuntan a detectar automáticamente esos dominios tiernamente disfrazados mediante identificación de caracteres homoglyphs y generación de datasets.

4. ¿Cómo defenderse de estos engaños?

✅ Mostrar URLs en Punycode: Configurar navegadores como Firefox o Chrome para que muestren dominios codificados en punycode, evitando engaños visuales.

✅ Usar gestores de contraseñas: Estos no rellenan credenciales cuando el dominio no coincide exactamente, lo que delata rápidamente un intento de suplantación.

✅ Inspeccionar manualmente los links: No hacer clic directo; mejor copiar y pegar en un editor de texto para examinar con calma.

✅ Educación continua: Formar a los usuarios para que sean conscientes de estos ataques y no se dejen engañar por la familiaridad visual.

✅ Implementar detección basada en IA y comparaciones inteligentes: Soluciones automatizadas que detecten similitudes sutiles entre caracteres pueden alertar antes de que ocurra un ataque.