Typosquatting, l’attacco che usa gli errori ortografici nelle URL per “catturare” le vittime: come difendersi - Cyber Security 360

SICUREZZA INFORMATICA

Typosquatting, l’attacco che usa gli errori ortografici nelle URL per “catturare” le vittime: come difendersi

Conosciuto anche come URL hijacking (dirottamento di URL), il typosquatting è una tipologia di attacco che sfrutta gli errori di battitura o digitazione commessi digitando un URL nel browser per attirare le vittime verso nomi di dominio simili a quelli legittimi di società o entità affidabili ed esporle ad altri attacchi tra cui principalmente il furto di credenziali. Ecco come funziona e come difendersi

14 Gen 2021
I
Pierguido Iezzi

Swascan Cybersecurity Strategy Director e Co Founder

Il typosquatting è una tipologia di attacco di social engineering che fa leva su errori di ortografia o piccole variazioni di testo nelle URL dei siti Web per “intrappolare” gli utenti su domini malevoli al fine di compiere una serie di attacchi, principalmente il furto di credenziali.

I criminal hacker registrano nomi di dominio simili a quelli legittimi di società o entità affidabili nella speranza di ingannare le vittime facendo credere loro di interagire con l’organizzazione reale.

Come funziona il typosquatting

Gli aggressori possono camuffare il dominio malevolo attraverso differenti metodologie:

  • un comune errore di ortografia nel dominio di destinazione (per esempio gooogle.com invece di google.com);
  • un dominio di primo livello diverso (utilizzando .it invece di .co.it);
  • aggiunta di parole correlate nel dominio;
  • aggiunta di punti all’URL (go.ogle.com);
  • utilizzo di lettere dall’aspetto simile per camuffare il falso dominio (goògle.com).

È un “trucco abbastanza semplice”, ma ancora enormemente efficace e redditizio per i criminal hacker.

“Riesci a vedere la differenza tra goggle.com e google.com?”, probabilmente nella routine di leggere non ci accorgiamo neppure della differenza tra i due domini.

In sintesi, il typosquatting si esplica attraverso la registrazione di un dominio simile a un dominio legittimo.

Le uniche differenze sono uno o due caratteri sbagliati o diversi con lo scopo di cercare di ingannare le persone a cliccare sulla pagina web sbagliata.

La registrazione di un dominio è semplice e veloce e gli aggressori possono registrare contemporaneamente diverse varianti del dominio legittimo. I domini malevoli possono essere utilizzati per i seguenti scopi:

  • estorsione: ad esempio per rivendere il dominio al proprietario del marchio;
  • frode pubblicitaria: monetizzando il dominio con annunci pubblicitari mostrati ai visitatori ingannati da un’ortografia non corretta, per poi reindirizzarli alla concorrenza o reindirizzare il traffico verso il marchio stesso tramite un link di affiliazione e guadagnare una commissione a ogni clic;
  • furto di informazioni: raccogliere credenziali e informazioni sensibili tramite e-mail di phishing o pagine di login di siti copiati;
  • diffamazione: raffigurare il proprietario del dominio “target” in luce negativa, una tipologia di typosquatting particolarmente comune fra i domini dei politici.

La motivazione, insomma, è quasi sempre di natura economica. L’obiettivo finale è di solito il furto di denaro, proprietà intellettuale o altri dati preziosi che possono essere venduti o conservati per il riscatto.

Quanto è frequente questo tipo di strategia?

Il typosquatting non è una novità in ambito cyber security e la continua evoluzione dell’economia digitale ha fatto sì che l’interesse per questo tipo di attacco non sia ancora scemato.

Prendiamo, per esempio, iCloud. Un recente report di Nominet racconta di come in un solo giorno sono stati registrati undici casi di domain spoofing, molti dei i quali includevano il termine “supporto”, tema legato a doppia mandata con la raccolta di credenziali e dati sensibili.

iCloud è solo un termine di ricerca. Moltiplicatelo per le centinaia o migliaia di nomi di aziende ben note e vedrete quanto sia realmente estesa questa attività.

Dato che questa strategia d’attacco può vedere vittime aziende di qualsiasi dimensione, è difficile anche solo calcolare il numero totale delle potenziali vittime.

La pandemia come cassa di risonanza degli attacchi typosquatting

Il 2020 ha visto molti tentativi di spoofing di dominio con temi legati alla pandemia di COVID-19. I dati pubblicati da DomainTools ci dicono che sono stati registrati più di 150mila nuovi domini ad alto rischio, proprio a tema coronavirus, a partire dal dicembre del 2019.

Il suffisso più prezioso su internet è il .com.

Questo significa che è anche quello più prezioso per effettuare il typosquatting.

I domini più attraenti per i criminal hacker sono le istituzioni finanziarie o le organizzazioni farmaceutiche. Anche i beni di consumo di tendenza sono molto popolari come target. Motivo per il quale è sempre bene prestare particolare attenzione quando si accede a questo tipo di siti o si ricevono e-mail con link che puntano verso essi.

Anche le elezioni presidenziali americane appena concluse sono state un obiettivo per “l’occupazione abusiva” digitale. In un rapporto di recente pubblicazione, per esempio, Digital Shadows ha trovato più di 500 domini abusivi relativi a candidati presidenziali.

Il fatto che 66 siano stati ospitati sullo stesso indirizzo IP, e probabilmente gestiti dalla stessa persona, dimostra quanto sia facile lanciare questo tipo di attacchi.

Come fermare gli attacchi di typosquatting

Il typosquatting è un tipo di attacco indiretto molto difficile da eludere. Banalmente, il principale “grimaldello” è la soglia di attenzione dell’utente.

I registri dei domini e le società di registrazione non applicano misure preventive al fine di limitare registrazioni dannose di domini simili a quelli originali. Anzi, trattandosi di domini di raro interesse, la registrazione è semplice e poco costosa.

Alcune società offrono servizi per trovare domini potenzialmente falsificati. L’Organizzazione Mondiale della Proprietà Intellettuale (OMPI) offre uno strumento per la risoluzione delle dispute chiamato Uniform Domain-Name Dispute-Resolution Policy (UDRP), che permette ai detentori di marchi di presentare reclami contro gli abusivi e recuperare il dominio.

In altri casi, la rimozione di domini falsificati richiede un’azione legale. Nel 2018 Microsoft ha ottenuto un’ordinanza di un tribunale statunitense per chiudere domini che si pensava fossero gestiti dal gruppo russo Fancy Bear (noto anche come APT28).

Dal lato difensivo, le aziende possono anche cercare di registrare domini simili ai propri per prevenire preventivamente gli attacchi squatting e reindirizzare gli utenti all’URL corretto. Questa è tipicamente chiamata registrazione difensiva ed è una forma legittima di typosquatting. Ad esempio, Microsoft possiede più di una dozzina di domini con varianti del marchio per prevenire tali attacchi.

Certo, questo però potrebbe non essere sempre facile. Questa attività richiede un apporto strutturato di intelligence per la ricerca di questi domini di typosquatting potenzialmente dannosi.

Per questo motivo è sempre consigliato fare ricorso alla Cyber Threat Intelligence, in grado di individuare queste informazioni, raggrupparle e fornire una actionable intelligence per agire in modo proattivo alla loro rimozione.

Non abbassiamo la guardia.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5