Il typosquatting è una tecnica da tempo usata dai criminali informatici per riuscire a truffare la vittima, ma ancora molto attuale ed efficace.
La strategia è molto semplice e consiste nel registrare un nome di dominio (squatting trad. abusivo) molto simile ad uno molto famoso e di cui si ha fiducia, in attesa di una semplice distrazione (typo trad. errore di battitura) per cui l’utente digita l’indirizzo con un piccolo errore ortografico, oppure nella lettura rapida ed approssimativa che spesso si utilizza per gli url l’utente non riesce a rendersi conto della piccola differenza.
Si tratta di un grosso problema per le aziende, vediamo ora un esempio di typosquatting in una mail di phishing di CartaSi.
In questo caso il dominio vittima è CartaSi, vediamo come il mittente del messaggio ed anche il link a cui si accede cliccando usa un dominio cartasj.com con la “j” al posto della “i”.
Cliccando sul link ad attenderci c’è un classico portale di phishing che riproduce fedelmente il portale originale di cartaSi, ma ad attenderci ci sono dei criminali informatici pronti a raccogliere le nostre credenziali.
Effettuando un whois del dominio cartasj.com
Domain Name: CARTASJ.COM Registry Domain ID: 1986700749_DOMAIN_COM-VRSN Registrar WHOIS Server: whois.register.it Registrar URL: http://we.register.it Updated Date: 2015-12-10T00:00:00Z Creation Date: 2015-12-10T00:00:00Z Registrar Registration Expiration Date: 2016-12-10T00:00:00Z Registrar: REGISTER.IT S.P.A. Registrar IANA ID: 168 Registrar Abuse Contact Email: abuse[at]register.it Registrar Abuse Contact Phone: +39.0353230310 Reseller: Domain Status: ok Registry Registrant ID: Registrant Name: Global Domain Privacy Registrant Organization: GLOBAL DOMAIN PRIVACY Registrant Street: Via Zanchi 22 Registrant City: Bergamo Registrant State/Province: BG Registrant Postal Code: 24126 Registrant Country: IT Registrant Phone: +39.0353230400 Registrant Phone Ext: Registrant Fax: +39.0353230312 Registrant Fax Ext: Registrant Email: z16coim68fttx5wf@registerprivateregistration.com Registry Admin ID: Admin Name: Global Domain Privacy Admin Organization: GLOBAL DOMAIN PRIVACY Admin Street: Via Zanchi 22 Admin City: Bergamo Admin State/Province: BG Admin Postal Code: 24126 Admin Country: IT Admin Phone: +39.0353230400 Admin Phone Ext: Admin Fax: +39.0353230312 Admin Fax Ext: Admin Email: z16coim68fttx5wf@registerprivateregistration.com Registry Tech ID: Tech Name: Technical Support Tech Organization: Register.it S.p.A. Tech Street: Via Montessori s/n Tech City: Bergamo Tech State/Province: BG Tech Postal Code: 24126 Tech Country: IT Tech Phone: +39.0353230400 Tech Phone Ext: Tech Fax: +39.0353230312 Tech Fax Ext: Tech Email: Name Server: NS1.REGISTER.IT Name Server: NS2.REGISTER.IT DNSSEC: unsigned URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/
Possiamo osservare le informazioni sul vero responsabile del dominio sono state offuscate utilizzando le funzionalità di privacy offerte da molti fornitori di servizi, ma che è stato registrato sfruttando un registrant italiano, a conferma che il phishing è un fenomeno globale ma per sconfiggerlo è necessario conoscere le realtà locali.