TinyURL, uno de los servicios más populares para acortar direcciones URL (si bien no es nuestro favorito) está siendo usado ahora por cibercriminales para redirigir a los que navegan la web a páginas que contienen virus, troyanos y otros tipos de malware. Según el Centro de Investigación de Código Malicioso de Finjan, estos criminales están usando el servicio para evitar que sus sitios web sean señalados por el mecanismo Safe Browsing (Navegación Segura) integrado en navegadores modernos como Mozilla Firefox y Google Chrome.
Ambos navegadores web emplean Google Safe Browsing, una característica que advierte a los usuarios sobre sitios de phishing y otros con malware. Sin embargo evitar este filtro en su navegador es fácil de lograr, aparentemente. Todo lo que se necesita es que un cibercriminal cree una dirección TinyURL que oculte la URL original, maliciosa. Entonces, en lugar de recibir el mensaje de advertencia “¡Sitio atacante reportado!”, los navegantes web confiados serán enviados directamente a la página web peligrosa al hacer clic en el vínculo.
En las pruebas, la razón por la cual TinyURL pudo ser usado de esta manera fue porque las páginas que enmascaran no eran a nivel de dominio, sino subpáginas de dominios marcados como “seguros”. Esto en realidad señala una debilidad en la característica de Safe Browsing y no un verdadero riesgo de seguridad del servicio TinyURL en sí mismo. Debido a que Safe Browsing solo califica los sitios a nivel de dominio, las subpáginas infectadas siempre serán calificadas como “no-maliciosas” en la medida que el dominio esté categorizado como “seguro”.
TinyURL no es el único servicio del cual se está abusando de esta manera. Otros servicios que acortan las direcciones URL mencionados en el artículo incluyen a bit.ly, w3t.org and is.gd. Sin embargo, durante su investigación, la firma encontró que bit.ly era usado por los mismos cibercriminales. Tanto TinyURL como bit.ly fueron notificados y los enlaces maliciosos fueron eliminados.
Traducido para blog de Segu-info por Raúl Batista
Autor: Sarah Perez
Fuente: www.readwriteweb.com