Un khanipot es una utilidad que sirve como señuelo, y parece ser un objetivo seductor para un atacante y lo tienta a revelarse. Si bien los hanipots avanzados están diseñados para detectar y estudiar más fácilmente los tipos de ataques utilizados por los piratas informáticos in vivo, los hanipots de seguimiento de URL modernos se han convertido en una herramienta flexible y fácil de usar que la gente común suele utilizar para detectar estafadores en línea.
En nuestro primer podcast de
utilidades de seguridad, estamos viendo la
herramienta de seguimiento gratuita
Grabify , que recopila datos sobre estafadores o atacantes cuando hacen clic en el enlace de seguimiento del hanipot.
¿Cómo funciona el hanipot?
Khanipot es una utilidad diseñada para atraer la atención de un atacante, permitiendo que el defensor aprenda más sobre la identidad del atacante y sus tácticas de piratería. Los Hanipots pueden adoptar diversas formas: a menudo se disfrazan de archivos importantes, mensajes de correo, enlaces, información de cuentas o dispositivos que tienen más probabilidades de atraer el interés de un atacante. El hanipot ideal se ve lo más plausible posible, en un intento de comprometer al atacante a través de su propia revelación al lado defensor.
Hay muchas formas creativas y útiles que los defensores han ideado para detectar y desenmascarar a los intrusos usando hanipots. Por ejemplo, el clásico cebo "
Kippo " es famoso por su disfraz como un servicio SSH vulnerable, accesible desde Internet con una cuenta débil. Kippo atrae a un atacante con su fácil accesibilidad, mientras registra secretamente toda la actividad que ocurre dentro.
Estos hanipots revelan atacantes que han penetrado en una red no segura y permiten a los investigadores analizar la carga útil utilizada por los robots automatizados para atacar objetivos vulnerables. También contribuyeron al desarrollo del género de
videos de YouTube con guiones miserables tratando desesperadamente de descifrar a Kippo Hanipots.
Algunos Hanipots incluso pueden engañar a los piratas informáticos que supuestamente ya se han conectado a su propio sistema, mientras continúan registrando todas sus acciones en la ventana del terminal, llevando el grado de astucia a un nuevo nivel. Esto le permite aprender más sobre la identidad del atacante y otros sistemas a los que tiene acceso.
Hanipots modernos pueden estar en cualquier lugar
Hanipots evolucionó a un estado donde son difíciles de detectar, ya que los atacantes ya se han acostumbrado y tratan de evitar objetivos que parecen demasiado buenos para ser verdad.
Usando el
rastreador gratuito CanaryToken , el defensor puede incrustar un enlace de seguimiento basado en el protocolo DNS o enlaces web que se inician tan pronto como se abre el archivo PDF. CanaryToken recopila las direcciones IP de cualquier persona que intente abrir un archivo monitoreado que
pueda contener información confidencial.
Para atrapar a los cibercriminales utilizando tácticas de phishing, la parte defensora puede usar los
enlaces de chanipot incrustados en el código del sitio web. Esto le permitirá identificar casos de clonación de sitios web, pre-advirtiendo a los defensores de un posible ataque.
Otros Hanipots
rastrean credenciales robadas , tomando la forma de un nombre de usuario y contraseña falsos (los llamados "Honeycredentials"), almacenados en un archivo con un nombre "importante" en un lugar relativamente fácil de acceder en el interior del atacante. Si un atacante intenta usar estas credenciales, el defensor recibe inmediatamente una notificación sobre el intento de usar la información robada para obtener acceso a la cuenta.
Otra aplicación del hanipot es el
uso de enlaces de seguimiento para saber cuándo el atacante publica sus enlaces en Skype, WhatsApp u otro mensajero. Esto es posible debido al hecho de que la mayoría de las aplicaciones de chat hacen clic automáticamente en los enlaces para generar vistas previas de URL. A pesar de que la dirección IP registrada pertenece a la aplicación de mensajería y no al atacante, esta táctica le permite averiguar si los enlaces Hanipot rastreados se transmiten a otra persona o no, incluso si el atacante es lo suficientemente inteligente como para nunca hacer clic en ellos.
Cualquiera puede usar el chanotip
En el "salvaje oeste" de sitios para la venta de cosas, citas en línea y viviendas de alquiler, es fácil imaginar que no hay forma de verificar con quién está hablando realmente. Los estafadores y los robots que aprovechan esta situación pueden sonar extremadamente convincentes, pero sus verdaderos entresijos pueden descubrirse si se les puede obligar a engañarlos para que revelen información sobre su ubicación, diseño del teclado o configuraciones de idioma que no coinciden con sus historias. Gracias a esto, los Hanipots han ganado popularidad entre la gente común que usa enlaces de seguimiento para cambiar el curso del juego, durante el cual los atacantes aprovechan el anonimato en Internet.
Los enlaces web de seguimiento pueden integrarse fácilmente en páginas web, ejecutar scripts o mensajes de correo electrónico y son gratuitos para todos. Si el atacante abre el enlace directamente o abriendo el archivo que llama a la URL, el defensor puede encontrar información sobre el hardware, el software y los datos de red del atacante. Incluso si un atacante intenta ocultar su dirección IP real utilizando una VPN, la información sobre su identidad real aún puede filtrarse.
Grabify puede detectar diferencias como desajustes de zonas horarias o diseños de teclado que no coinciden con la ubicación de la dirección IP, o incluso detectar el uso de un atacante VPN o Tor para ocultar su información.
Los enlaces de seguimiento de Hanipot pueden nivelar las posibilidades de las personas que generalmente están en desventaja al interactuar con varias personalidades sospechosas en línea al identificar detalles que de otro modo serían muy difíciles de verificar. Al utilizar enlaces de seguimiento que conducen a sitios que pueden compartirse lógicamente al comunicarse con un propietario potencial, la persona arrendada puede mantenerse alejada de las ofertas "demasiado buenas para ser verdad" al identificar intrusos que están engañando a su ubicación. Por ejemplo, esto puede permitir que alguien de la India sea identificado como propietario en Los Ángeles.
Hanipots genera alertas operacionales
Los Hanipots son económicos y fáciles de implementar. Son una de las mejores formas de detectar cuándo algo sale mal. Por ejemplo, un buzón de CanaryToken rastreado a través de DNS con una lista de contactos importantes puede informar inmediatamente una fuga de credenciales de esta lista, informando sobre una situación que de otro modo tomaría meses detectar.
El investigador de seguridad de la información Kevin Beaumont implementó una
red de inspección RDP llamada "BluePot" para identificar las vulnerabilidades BlueKeep de "explotación salvaje" para alertar a las explotaciones de gusanos de manera oportuna y prevenir ataques a gran escala como NotPetya y WannaCry.
Los hanipots modernos amplían los límites de la comprensión de cuán fácilmente se pueden implementar y cuán convincentes le parecen al atacante. Si bien los impresionantes traspasos de nueva generación pueden virtualizar redes enteras en un intento de atrapar a los ciberdelincuentes más avanzados que pueden detectar el cebo habitual, la mayoría de las empresas se beneficiarán incluso del uso de tácticas tácticas simples y gratuitas, siendo el primero en conocer la penetración del atacante.
Si desea obtener más información sobre la aplicación y las limitaciones de los identificadores web, escuche nuestro podcast de
utilidades de seguridad con la participación del desarrollador de Grabify.