Si chiama DNS hijacking l’attacco informatico con cui gli aggressori modificano i record DNS (Domain Name System) di un sito Web per reindirizzare il traffico verso un server Web malevolo. L’obiettivo consiste nel fare in modo che gli utenti siano diretti, ad esempio, verso una pagina phishing anziché sui server dei legittimi proprietari del dominio.
Questa modalità di attacco risulta molto efficace perché gli utenti sono rassicurati dalla comparsa, nella barra degli indirizzi del browser, del nome di dominio abituale quando in realtà stanno visitando pagine Web gestite dagli aggressori.
I record DNS sono tabelle contenenti una corrispondenza tra indirizzi mnemonici (nomi di dominio) e indirizzi IP. L’indirizzo IP identifica univocamente il server che eroga le pagine del sito o dell’applicazione Web. L’alterazione del meccanismo di risoluzione dei nomi di dominio può avere, ovviamente, conseguenze devastanti.
Attacco DNS hijack su tanti domini Squarespace, ex Google Domains
Dopo anni di attività, Squarespace ha acquisito Google Domains a settembre 2023, insieme con tutti i clienti della piattaforma.
Negli ultimi giorni, un’ondata di attacchi coordinati di DNS hijacking hanno preso di mira i domini di alcune note piattaforme di finanza decentralizzata (DeFi). C’è un unico denominatore: tutti i siti coinvolti si appoggiano al registrar Squarespace e i visitatori sono indirizzati verso pagine phishing, congegnate per rubare denaro dai portafogli in criptovaluta delle vittime.
Diverse piattaforme hanno immediatamente invitato gli utenti, tramite social, ad astenersi dal visitare i loro siti fino a nuovo avviso.
Come abbiamo spiegato in apertura, questi attacchi sono solitamente sferrati compromettendo i server DNS e modificandone i record originali.
Attacchi legati al registrar Squarespace
Sebbene la causa del problema non sia stata ancora accertata, i domini presi di mira erano stati originariamente registrati su Google Domains e successivamente trasferiti a Squarespace nel 2023, proprio a seguito dell’accordo con la società di Mountain View.
Durante la migrazione verso Squarespace (si calcola che i nomi di dominio interessati possano essere circa 10 milioni), l’autenticazione a più fattori – precedentemente implementata su Google Domains – è ovviamente venuta meno. Da parte sua, Squarespace aveva tuttavia invitato gli utenti ex Google Domains a riabilitarla.
Non è chiaro come gli attaccanti siano riusciti a condurre in porto l’attacco. Tuttavia, secondo i ricercatori Taylor Monahan e Andrew Mohawk, il DNS hijacking potrebbe essere correlato proprio alla disabilitazione dell’autenticazione a più fattori durante il processo di migrazione e alla creazione automatica di account per gli utenti associati ai domini.
Alcuni clienti Squarespace hanno riferito di aver ricevuto email sospette per il reset della password: ciò potrebbe indicare che si tratta di un attacco più ampio alle credenziali degli account.
I ricercatori hanno compilato una lista di domini legati a progetti crypto e DeFi che potrebbero essere stati colpiti. È bene non abbassare la guardia, almeno fintanto che la situazione non sarà chiarita.
Credit immagine in apertura: iStock.com – Funtap