Typosquatting: La Nuova Minaccia!

Posted on giugno 16, 2007. Filed under: News |

Il typosquatting, come è noto, è una forma evoluta di cybersquatting e consiste nel registrare un nome di dominio molto simile a quello utilizzato da un’altra società, per approfittare degli errori di digitazione degli internauti, con il duplice scopo di intercettare una parte del traffico indirizzato al sito ufficiale, nonché un elevato numero di e-mail inviate a indirizzi della società presa di mira.
Spesso gli utenti commettono un errore digitando l’indirizzo Internet di un sito Web; se il nome di dominio del typosquatter è sufficientemente simile, ha buone possibilità di intercettare questo tipo di traffico che viene, così, “autodirottato”.
Ovviamente, se il sito è poco visitato, il fenomeno interessa una piccola percentuale di utenti; nel caso di siti con un traffico molto elevato, però, la percentuale può crescere, fino a raggiungere le migliaia di visitatori al giorno.
Il pirata, in questo modo, può veicolare messaggi pubblicitari o proporre prodotti e servizi forniti da società concorrenti o complementari alla società-vittima. Il segreto di questa tattica risiede nella capacità di individuare un indirizzo di typosquatting basato sugli errori di digitazione più frequentemente commessi dagli utenti.

Nell’ottobre del 2001, Marc Schneider ha pubblicato i risultati di una ricerca condotta sul campo. Qualche tempo prima, aveva registrato il nome di dominio “jptmail.com”, molto vicino al noto “hotmail.com”.
I due caratteri diversi, “j” e “p”, sulla tastiera sono situati immediatamente alla destra della “h” e della “o” dell’indirizzo originale.
In realtà, questo indirizzo non era stato ben concepito, essendo necessario che vengano fatti ben due errori di digitazione consecutivi, cosa che avviene piuttosto raramente.
Nonostante tutto, però, è riuscito a dirottare, in un anno, ben 3.000 visitatori.
Si calcola che un indirizzo con un solo errore di digitazione potrebbe dirottarne fino a dieci volte di più.
Il procedimento seguito per intercettare parte delle e-mail indirizzate alla società vittima consiste nell’attivare i propri server MX e indicare che si vuole ricevere tutte le e-mail spedite a xxx@proprionome.xx, senza far puntare il nome di dominio su un sito.
In altre parole, se una libreria online registra il nome di dominio “amzon.com” e recupera tutte le mail inviate a xxx@amzon.com o sales@amzon.com, potrà facilmente intercettare una parte della clientela di Amazon, offrendo i propri prodotti agli utenti che hanno richiesto informazioni, commettendo un piccolo errore di digitazione. Nel caso citato da Marc Schneider, xxx@jptmail.com aveva ricevuto circa 300 messaggi in nove giorni, potenzialmente 9.000 al mese.
La strategia dei typosquatters è fondamentalmente basata su questi punti: concentrarsi su siti con un forte traffico, registrare numerose varianti del nome invertendo le lettere o sostituendone alcune, oppure depositare dei nomi che sono varianti fonetiche di quelli originali.

Già da tempo i tecnici dei laboratori Microsoft, si proposero di mettere in allerta l’utente sui vari esempi di typosquatting e svilupparono uno strumento in grado di combattere questo fenomeno.
Si tratta di Strider URL Tracer che svolge anche una funzione di “parental control” (per evitare che i minori, digitando un indirizzo errato, possano trovarsi di fronte a contenuti osceni o comunque di dubbio gusto).
Lo strumento è compatibile con Internet Explorer 6 ed è in grado anche di comunicare all’utente quando un sito web obbliga il visitatore a prelevare elementi da altri siti web senza il suo consenso, schema questo assai spesso utilizzato per il download di malware o per condurre l’utente verso una pagina sviluppata per appositamente per sfruttare vulnerabilità di sicurezza del browser.

e qui veniamo al punto…

Da fine Novembre / inizio Dicembre 2006 il team che sta alle spalle delle famose e-mail i cui soggetti preferiti sembrano essere avvocati – ma in altri casi anche polizia municipale o compagnie di sicurezza informatica – è stato molto attivo nel rilasciare continui aggiornamenti del proprio malware.

Un Trojan.Hijacker spesso modificato nella forma per evitare i controlli delle firme virali da parte dei software antivirus, fino ad arrivare a cambi radicali in queste ultime versioni di Maggio. Cambio nella forma, ma non nella sostanza. Continua a modificare Internet Explorer, la home page e aggiunge alla lista dei siti attendibili siti infetti, continua ad avere funzioni di dialer. Continua ad essere sempre più “italiano”.
I testi delle e-mail sono sempre scritti in italiano fluente e corretto, ma non è solo questo il punto che fa sospettare una possibile natura italiana del malware.
Gli autori si sono dati al typosquatting.
Risulta interessante vedere come questi untori si siano dati da fare registrando molti domini tra i quali:

http://www.corrire.it
http://www.ilmessagero.it
http://www.messagero.it
http://www.tutttogratis.it
http://www.reppublica.it
http://www.googler.it
http://www.googlie.it
hotmaill.it
liberol.it

I domini, registrati al NIC, risultano essere proprietà di un signore tedesco:

Name: Bojarovs Aleksejs
ContactID: BA3396-ITNIC
Address: street: Grodnas 42/72
zip: LV-5400
city: Daugavpils
DE


della cui reale esistenza dubito fortemente o, almeno, anche lui potrebbe essere vittima a sua volta.

La società che ha registrato i domini risponde a Prolat, maintainer già da tempo al centro di critiche legali per attività di typosquatting. In effetti, la mera attività di typosquatting non dovrebbe essere illegale, perché si tratta della registrazione di un nome di dominio come altri. Al massimo, il problema potrebbe arrivare se la società il cui dominio è stato “copiato” volesse acquistare anche i domini simili al suo e di conseguenza si entrerebbe in un affare privato.

In questo caso, però, l’attività di typosquatting è legata ad un’azione di diffusione di malware. I domini hijackati, infatti, rimandano ad un unico server ospitato negli Stati Uniti da SOFTLAYER TECHNOLOGIES INC (Indirizzo IP: 75.126.144.219). Da qui, sono due i siti web che vengono richiamati, automaticamente oppure necessitano di intervento manuale, cioè 64.202.120.142 e 216.120.252.191. Senza indagare ulteriormente con whois vari, i siti sono comunque ospitati anch’essi negli Stati Uniti.

Al momento, una variante lì ospitata bypassa molti software antivirus conosciuti: solo Prevx, Kaspersky (e derivati dall’engine russo), Avira, BitDefender, AVG, OneCare, Sophos e Norman intercettano questa variante – sebbene non sia tanto questo il problema (le altre società aggiorneranno a breve), quanto piu che altro la continua e incessante attività che sta dietro a questa famiglia di malware, sempre aggiornati per bypassare le difese standard degli utenti.

Da quello che sembra, dietro questo malware c’è più di un ragazzino con voglia di fare danni. Ma a noi sta il compito di tentare di difendere gli utenti con i mezzi informatici, ad altri il compito di indagare ed arrestare se possibile gli autori materiali.
Grazie a Marco Giuliani.

Sunbelt, azienda di sicurezza, segnala una lista di 1.100 domini italiani “typosquatting” capaci di infettare i malcapitati utenti.

Questa pagina è un esempio di dirottameto infetto.

Make a Comment

Lascia un commento

Effettua il login con uno di questi metodi per inviare il tuo commento:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

Liked it here?
Why not try sites on the blogroll...

%d blogger cliccano Mi Piace per questo: