Con il preciso obiettivo di trarre in inganno quanti più utenti possibile, chi pone in essere attacchi phishing mette a punto pagine Web rispondenti a indirizzi che ricordano da vicino quelli di aziende note, banche, Pubbliche Amministrazioni, servizi Web, social e così via.
Pensate all’URL di una pagina Web e alle parti che lo compongono: molto spesso gli utenti si limitano a leggere quanto riportato all’inizio dell’indirizzo quando invece l’informazione più importante è il nome a dominio di secondo livello ossia la stringa di caratteri che precede l’indicazione del TLD (top-level domain), ad esempio .it, .com
.
Tanti aggressori creano un dominio di terzo livello del tipo banca-sicura.altrodominio.com
, spesso molto lungo, proprio con lo scopo di attirare l’attenzione dei meno esperti su quello e non sul dominio principale (di secondo livello).
Il cybersquatting è una pratica fraudolenta che consiste nell’acquisizione di un nome a dominio di secondo livello che ricorda da vicino un marchio o un’azienda famosa. Spesso c’è una lettera in meno o in più rispetto al dominio legittimo usato da un istituto bancario o da una qualunque altra organizzazione.
Il fenomeno, chiamato anche domain squatting o URL squatting, è tutt’oggi in continua crescita tanto che i ricercatori di Akamai hanno studiato il traffico DNS globale per identificare le parole chiave più utilizzate per ingannare aziende e privati negli attacchi di cybersquatting.
Akamai spiega che sta vertiginosamente aumentando il combosquatting: in questo caso i criminali informatici registrano un nome a dominio che contiene il nome o il marchio altrui e poi vi aggiungono qualcos’altro. Esempio: bancasicura-login.com
. Al posto di bancasicura si legga il nome di uno degli istituti di credito italiani.
Gli aggressori aggiungono come suffisso o prefisso ai nomi di dominio stringhe come support, com, login, help, secure, www, account, app, verify, service giusto per citare le prime 10 più “gettonate”.
Secondo i ricercatori, tra le tipologie di cybersquatting, il combosquatting supera oggi tutte le altre sia in termini di numero di domini attivi e di clic da parte degli utenti configurandosi come una delle minacce più subdole e pericolose.
Gli attacchi omografici sono oggi spesso bloccati dai principali browser Web anche se è bene tenere la guardia sempre alta perché non tutte le applicazioni, ad esempio quelle installate sui dispositivi mobili, potrebbero gestire correttamente gli URL scritti con caratteri non latini di fatto facendo il gioco dei criminali informatici.