Frode informatica: il typosquatting

Frode informatica: il typosquatting

Il typosquatting è una forma evoluta di cybersquatting e consiste nel registrare un nome di dominio molto simile a quello utilizzato da un’altra società, con un duplice obiettivo: intercettare una parte del traffico indirizzato al sito ufficiale e intercettare il maggior numero possibile di email inviate a indirizzi della società presa di mira.

Spesso gli utenti commettono un errore digitando l’indirizzo Internet di un sito Web; se il nome di dominio del typosquatter è sufficientemente simile, ha buone possibilità di intercettare questo tipo di traffico che viene, così, “autodirottato”.

Ovviamente, se il sito è poco visitato, il fenomeno interessa una piccola percentuale di utenti; nel caso di siti con un traffico molto elevato, però, la percentuale può crescere, fino a raggiungere le migliaia di visitatori al giorno.

Il pirata informatico, in questo modo, può veicolare messaggi pubblicitari o proporre prodotti e servizi forniti da società concorrenti o complementari alla società-vittima. Il segreto di questa tattica  risiede nella capacità di individuare un indirizzo di typosquatting basato sugli errori di digitazione più frequentemente commessi dagli utenti.

In altre parole, se questo sito in oggetto si chiama www.pcalsicuro.com, secondo il typosquatting qualcuno potrebbe registrare il dominio “www.pcaslicuro.com” e utilizzarlo per trasmettere del malware. Si tratta, in altre parole, di avvicinarsi il  più possibile all’indirizzo del sito originale di cui si vuole simulare l’URL in modo tale che un utente, digitando frettolosamente, si  possa ritrovare su una pagina infetta.

Risulta interessante vedere come questi truffatori si siano dati da fare registrando molti domini tra i quali: www.corrire.it, www.ilmessagero.it, www.messagero.it, www.reppublica.it, www.googler.it, www.googlie.it, hotmaill.it, liberol.it, www.quattoruote.it, www.googlew.it, www.juvenus.it, wwwhwupgrade.it,ecc…

In effetti, la mera attività di typosquatting non dovrebbe essere illegale, perché si tratta della registrazione di un nome di dominio come altri. Al massimo, il problema potrebbe arrivare se la società il cui dominio è stato “copiato” volesse acquistare anche i domini simili al suo e di conseguenza si entrerebbe in un affare privato. In questo caso, però, l’attività di typosquatting è legata ad un’azione di diffusione di malware.

Nell’ottobre del 2001, Marc Schneider ha pubblicato i risultati di una ricerca condotta sul campo. Qualche tempo prima, aveva registrato il nome di dominio “jptmail.com”, molto vicino al noto “hotmail.com”.

I due caratteri diversi, “j” e “p”, sulla tastiera sono situati immediatamente alla destra della “h” e della “o” dell’indirizzo originale. In realtà, questo indirizzo non era stato ben concepito, essendo necessario che vengano fatti ben due errori di digitazione consecutivi, cosa che avviene piuttosto raramente. Nonostante tutto, però, è riuscito a dirottare, in un anno, ben 3.000 visitatori. Si calcola infatti che un indirizzo con un solo errore di digitazione potrebbe dirottarne fino a dieci volte di più. Il procedimento seguito per intercettare parte delle email indirizzate alla società vittima consiste nell’attivare i propri server  MX (che sono i nomi dei server di posta elettronica) e indicare che si vuole ricevere tutte le email spedite a [email protected], senza far puntare il nome di dominio su un sito.

In altre parole, se una libreria online registra il nome di dominio “amzon.com” e recupera tutte le mail inviate a [email protected] o [email protected],  potrà  facilmente  intercettare  una parte della clientela di Amazon, offrendo i propri prodotti agli utenti che hanno richiesto informazioni, commettendo un piccolo errore di digitazione. Nel caso citato da Marc Schneider, [email protected] aveva ricevuto circa 300 messaggi in nove giorni, potenzialmente 9.000 al mese.

La strategia dei typosquatters è fondamentalmente basata su questi punti: concentrarsi su siti con un forte traffico, registrare numerose varianti del nome invertendo le lettere o sostituendone alcune, oppure depositare dei nomi che sono varianti fonetiche di quelli originali.

Precedente Frode informatica: il phishing Successivo Il reato informatico di pedofilia e scambio di materiale pedo-pornografico

Lascia un commento

*