AttentiOnline

Truffe, phishing ed altri pericoli del web

TypoSquatting
Approfondimenti

Cos’è il typosquatting e perché un errore di battitura nell’URL può essere pericoloso

Fabio

Capita a tutti, prima o poi, di sbagliare a digitare un indirizzo web. Le dita vanno veloci sulla tastiera, magari siamo di fretta, e invece di scrivere google.com scriviamo gogle.com o goggle.com. Nella maggior parte dei casi il browser ci corregge, oppure ci troviamo davanti a una pagina bianca. Ma non sempre va così. Qualcuno, dall’altra parte dello schermo, potrebbe aver registrato proprio quel dominio sbagliato, aspettando che qualcuno come noi ci finisca sopra per distrazione. Questa tecnica si chiama typosquatting, un termine che nasce dall’unione di due parole inglesi: typo, che significa errore di battitura, e squatting, che vuol dire occupazione abusiva.

Il meccanismo è tanto semplice quanto efficace. Un criminale informatico studia quali sono gli errori di digitazione più comuni quando si scrive l’indirizzo di un sito molto visitato, registra i domini corrispondenti a quegli errori e ci costruisce sopra pagine che possono avere scopi molto diversi tra loro: dalla semplice pubblicità ingannevole fino al furto di credenziali, passando per l’installazione di malware. Se un sito ha milioni di visitatori al giorno, anche una piccola percentuale di errori di battitura può generare migliaia di accessi involontari verso il sito truffa.

Le varianti utilizzate dai truffatori sono diverse e conviene conoscerle per non cascarci. La più comune è l’omissione di una lettera: facbook.com al posto di facebook.com. Poi c’è lo scambio di lettere vicine sulla tastiera: amazom.com invece di amazon.com, perché la “m” e la “n” sono una accanto all’altra. C’è chi gioca con le lettere doppie, come gooogle.com, e chi aggiunge un trattino o una parola in più al dominio, tipo intesa-sanpaolo-login.com, che non ha niente a che vedere con la vera banca ma suona terribilmente credibile.

Un trucco particolarmente insidioso per noi italiani è la sostituzione dell’estensione del dominio. Siamo abituati a pensare che se esiste nomeazienda.com debba esistere per forza anche nomeazienda.it, e viceversa. Non è affatto così. Non tutte le aziende acquistano tutte le estensioni disponibili, e un malintenzionato può approfittarne registrando la versione .it di un sito che esiste solo in .com, oppure usare estensioni meno note come .co, .net o .info per creare domini che sembrano legittimi. Un altro stratagemma molto diffuso è quello dei sottodomini: un indirizzo come intesasanpaolo.accesso-sicuro.com può ingannare chi legge in fretta, perché l’occhio si ferma sulla prima parte dell’URL senza accorgersi che il vero dominio è accesso-sicuro.com, che ovviamente non appartiene alla banca.

C’è poi una variante ancora più subdola, che merita un approfondimento perché è quasi impossibile da riconoscere ad occhio nudo: l’attacco omografico. Si tratta di una tecnica che sfrutta il fatto che, nella codifica Unicode utilizzata dai computer per rappresentare i caratteri di tutte le lingue del mondo, esistono lettere che appartengono ad alfabeti diversi ma che hanno un aspetto visivamente identico. La lettera “a” dell’alfabeto latino e la lettera “а” dell’alfabeto cirillico, per esempio, appaiono esattamente uguali sullo schermo, ma per il computer sono due caratteri completamente diversi. Un criminale può quindi registrare un dominio come аpple.com usando la “а” cirillica al posto di quella latina, e chi guarda la barra degli indirizzi del browser non noterà alcuna differenza rispetto al vero sito di Apple. È come se qualcuno riuscisse a creare una copia perfetta della targa della vostra auto usando caratteri di un altro alfabeto: identica all’occhio, diversa nella sostanza.

I browser moderni hanno introdotto delle contromisure contro gli attacchi omografici, mostrando la versione cosiddetta Punycode del dominio (una stringa che inizia con “xn--“) quando rilevano la presenza di caratteri sospetti. Chrome e Opera lo fanno in modo abbastanza efficace, mentre altri browser sono stati più lenti nell’adottare queste protezioni. In ogni caso, queste difese non sono infallibili, e i link ingannevoli possono comunque circolare via email, SMS o messaggi sui social network senza che il browser abbia modo di intervenire prima del clic.

Una volta atterrati su un sito costruito con il typosquatting, gli scenari possono essere diversi. Nel caso meno grave ci si trova davanti a una pagina piena di pubblicità, con la quale il typosquatter guadagna qualche centesimo per ogni visita. Ma spesso la situazione è più seria: il sito può essere una copia fedele di quello originale, con tanto di loghi, colori e struttura identici, progettata per farci inserire le nostre credenziali di accesso convinti di trovarci nel posto giusto. Altre volte il semplice atterraggio sulla pagina avvia il download automatico di un file malevolo. E in alcuni casi il typosquatting è solo il primo passo di una truffa più complessa, come il Business Email Compromise: il criminale, dopo aver creato un dominio quasi identico a quello di un’azienda, lo usa per inviare email che sembrano provenire da colleghi o fornitori, chiedendo bonifici su conti diversi dal solito o modifiche agli IBAN di pagamento.

Come proteggersi? Le regole sono poche ma importanti. La prima è quella di non digitare mai manualmente gli indirizzi dei siti sensibili come banche, posta elettronica o servizi di pagamento: meglio salvare i siti importanti nei preferiti del browser e accedervi sempre da lì. La seconda è prestare grande attenzione ai link che si ricevono via email o messaggi, soprattutto se arrivano da mittenti sconosciuti o contengono richieste urgenti: prima di cliccare, passate il mouse sopra il link (senza cliccare) e leggete l’indirizzo completo che compare in basso a sinistra nel browser. La terza è mantenere sempre aggiornato il browser, perché gli aggiornamenti includono spesso miglioramenti nella protezione contro domini sospetti. Infine, se qualcosa non vi convince, chiudete la pagina e accedete al sito digitando voi stessi l’indirizzo corretto oppure cercandolo su un motore di ricerca.

Il typosquatting esiste praticamente da quando esiste il web e, nonostante sia una tecnica ben conosciuta, continua a mietere vittime ogni giorno. La ragione è semplice: si basa sulla fretta e sulla distrazione, due compagni di viaggio che ci accompagnano ogni volta che navighiamo in rete. Conoscere questa minaccia è il primo passo per non lasciarsi ingannare da un banale errore di battitura.

AttentiOnline | Cos’è il typosquatting e perché un errore di battitura nell’URL può essere pericoloso
LinkedInPrint

Lascia un commento

Questo sito utilizza i cookies per migliorare la tua esperienza di navigazione | Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsenti all'uso dei cookies | Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookies clikka qui

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi