Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Il typosquatting è una tecnica di cybercrime che consiste nel registrare domini web quasi identici a quelli di marchi famosi, sfruttando gli errori di digitazione degli utenti. L'obiettivo è dirottare il traffico verso siti malevoli per sottrarre dati sensibili, diffondere malware o compiere truffe finanziarie. Per difendersi, è necessario verificare sempre l'URL nella barra del browser e implementare strategie di monitoraggio proattivo dei domini aziendali per prevenire il brand hijacking.
Quando si parla di Typosquatting, oppure di “URL hijacking”, ci si riferisce ad una forma di cybersquatting che si basa sulla registrazione di domini che presentano variazioni minime rispetto a nomi dei dominio esistenti e popolari. Si tratta della manipolazione intenzionale del Sistema dei Nomi di Dominio (o meglio chiamato DNS) attraverso lo sfruttamento della fiducia umana durante l’inserimento manuale di un indirizzo web.
Questa pratica, sfrutta gli errori di battitura (typos), le variazioni ortografiche, le omissioni di caratteri e l’uso di estensioni di dominio (TLD) alternative per ingannare l’utente finale e indurlo a visitare dei server malevoli.
Il fenomeno, non è del tutto nuovo, ma la sua ferocia è mutata radicalmente per arrivare fino ai giorni nostri. Se negli anni Novanta registrare un dominio simile a una grande testata poteva sembrare un atto di protesta, oppure semplicemente una bravata, oggi siamo di fronte a una macchina da guerra finanziaria. I dati purtroppo ci dicono il contrario rispetto a chi pensa che questo fenomeno sia un rischio marginale: il typosquatting è uno tra i pilastri delle campagne di phishing moderne. La storia ci ha insegnato che non appena il commercio elettronico ha preso il volo, i parassiti digitali hanno capito che un errore su una tastiera QWERTY valeva oro, molto oro.
Prendiamo i casi storici di domini come“Gogle.com”, oppure alle varianti di Amazon. Inizialmente l’obiettivo era spesso l’Ad Fraud, ovvero generare dei ricavi pubblicitari facili. Oggi il punto è un altro. Gli attaccanti non si accontentano più dei centesimi della pubblicità; vogliono le vostre credenziali bancarie e quindi vogliono i vostri soldi.
Inoltre, levoluzione del fenomeno, è stata spinta dalla facilità con cui si possono registrare domini a basso costo. Questo scenario apre un problema serio per la sovranità digitale dei brand. Non si tratta solo di tecnica, ma di psicologia. Il typosquatter sa che siete di fretta. Sa che il vostro occhio legge “Paypal” anche se c’è scritto “Paypa1“. Questa manipolazione cognitiva è ciò che rende il typosquatting più pericoloso di un attacco hacker diretto ai server: qui il bug non è nel codice, è nell’utente.
La proliferazione delle estensioni, dai classici siti con domini .com e .it fino ad arrivare ai più esotici .xyz o .biz, ha solo allargato il campo di gioco. Se un’azienda non presidia ogni singola variante dei propri domini, lascia un fianco scoperto ai criminali informatici. E non illudetevi che tutte le protezioni perimetrali e i filtri antispam risolvano tutto.
Spesso queste pagine sono costruite per apparire molto pulite dai motori di ricerca, ma allo stesso tempo letali per chi ci atterra sopra. La vera falla non è la mancanza di sicurezza del vostro browser, ma la velocità con cui le persone accettano ciò che vedono sullo schermo come una verità assoluta.
Entriamo ora nel tecnico. Perché è qui che si gioca tutta la partita in quanto i metodi risultano molto raffinati. C’è il classico “errore di battitura”, come saltare una lettera o invertirne due vicine. Ma la tecnica maggiormente utilizzata, risultano i domini omografi. Grazie all’uso di caratteri non latini (come ad esempio quelli cirillici o greci) che appaiono identici ai nostri, un malintenzionato può registrare un dominio che visivamente è indistinguibile da quello originale. Questo tipo di attacco, viene spesso legato al protocollo Punycode, ed è una delle minacce più subdole perché anche l’utente più esperto potrebbe non accorgersi di nulla guardando la barra degli indirizzi.
Poi ci sono le varianti di estensione. Se il vostro sito ufficiale è .com, un typosquatter potrebbe registrare il relativo .net o il .co. O peggio ancora, potrà usare il “combosquatting“, aggiungendo al dominio delle parole come “-login” o “-support” al nome del vostro brand (es. “https://www.google-login.com”). Il risultato è sempre lo stesso: la pagina di atterraggio copierà il look and feel del sito originale, ma non sarà il sito originale. Tale sito chiederà le credenziali all’utente con lo scopo di acquisirle ed utilizzarle per nuovi attacchi mirati.
Secondo diversi report autorevoli, le campagne di typosquatting stanno divenendo il preludio a attacchi ransomware più vasti e più seri. Non è un problema di navigazione, questa è la porta d’ingresso per molti malware che criptano l’intera rete aziendale.
La distribuzione di software malevolo avviene tramite download silenti (drive-by downloads) che si attivano non appena la pagina viene caricata. Questo scenario non riguarda solo i singoli, ma intere infrastrutture critiche che possono essere compromesse da un singolo dipendente distratto che digita male l’indirizzo della intranet o di un fornitore cloud. Semplificando al massimo: un carattere sbagliato può abbattere un firewall da milioni di euro.
Le conseguenze del typosquatting sono spesso un grosso bagno di sangue finanziario e reputazionale. Per l’utente, il rischio è ovvio: lo svuotamento del conto corrente, furto d’identità e compromissione dei dispositivi. Ma per le aziende, il danno è più profondo e spesso sottovalutato dai board dirigenziali. Quando un cliente finisce su un sito sosia e viene truffato, la fiducia del brand originale crolla, anche se l’azienda non ha colpe dirette. La perdita di clientela è immediata, seguita da una pioggia di recensioni negative e potenziali azioni legali per omessa vigilanza sulla protezione del marchio.
C’è poi il capitolo del Brand Hijacking competitivo. Alcune aziende poco etiche stanno usando il typosquatting per intercettare i clienti dei concorrenti. Digiti male il nome del leader di mercato e finisci sul sito di un competitor aggressivo. È una guerra sporca che danneggia l’integrità del mercato digitale. I costi per recuperare questi domini tramite procedure legali come l’UDRP (Uniform Domain-Name Dispute-Resolution Policy) sono elevati e i tempi burocratici giocano a favore dei criminali. Mentre voi cercate di chiudere un sito, il typosquatter forte dell’industrializzazione del modello, ne ha già aperti altri dieci con variazioni diverse.
Il rischio legale non riguarda più solo la perdita del marchio, ma si ribalta anche nella conformità dei regolamenti sulla protezione dei dati come il GDPR. Se i dati dei vostri utenti transitano su server non sicuri a causa di una variante del vostro dominio che non avete protetto, potreste trovarvi in una “zona grigia di responsabilità”. Molte aziende credono che basti avere il dominio principale per essere al sicuro, ma questo risulta sbagliato. La sicurezza informatica di oggi ci impone una visione più profonda: dovete possedere non solo la vostra casa, ma anche le strade che portano ad essa. Oppure assicurarvi che nessuno metta delle indicazioni stradali false in circolazione.
Come si esce da questo vicolo cieco?
La difesa deve essere proattiva. Le aziende devono investire nel “defensive registration”, ovvero acquistare preventivamente le varianti più comuni del proprio nome a dominio. È un costo fisso che va visto come un’assicurazione. Esistono strumenti di monitoraggio che scansionano costantemente i nuovi domini registrati a livello globale, segnalando immediatamente qualsiasi tentativo di typosquatting. In Italia, agenzie come l’ANSA riportano spesso avvisi di sicurezza legati a campagne di phishing che sfruttano nomi di istituzioni pubbliche o grandi banche nazionali.
Per gli utenti, la regola d’oro resta la prudenza.
Usare gestori di password (password manager) è una delle difese più efficaci: questi software non compileranno mai le credenziali se l’URL non è quello esatto registrato nel database. Inoltre, l’adozione dell’autenticazione a due fattori (2FA) rende il furto delle credenziali quasi inutile per l’attaccante. Ma guardiamo al futuro. L’intelligenza artificiale sta cambiando le carte in tavola. Se da un lato l’AI permette di rilevare domini malevoli in millisecondi, dall’altro consente ai criminali di generare migliaia di varianti di domini in modo automatico e di creare contenuti fake sempre più credibili.
La vera sfida del futuro non sarà solo tecnica. Sarà una battaglia per l’attenzione. In un mondo dove tutto è veloce, il typosquatting prospera sulla nostra fretta. Forse dovremmo smettere di fidarci ciecamente della tecnologia che dovrebbe proteggerci e tornare a leggere con attenzione quello che scriviamo. La domanda che vi lascio è provocatoria: e se la soluzione definitiva non fosse un algoritmo più potente, ma un ritorno a una navigazione più lenta e consapevole? In un’epoca di iper-velocità, la lentezza potrebbe essere la nostra migliore arma di cybersecurity.
