Typosquatting

Il typosquatting è una tecnica da tempo usata dai criminali informatici per riuscire a truffare la vittima, ma ancora molto attuale ed efficace.

La strategia è molto semplice e consiste nel registrare un nome di dominio (squatting trad. abusivo) molto simile ad uno molto famoso e di cui si ha fiducia, in attesa di una semplice distrazione (typo trad. errore di battitura) per cui l’utente digita l’indirizzo con un piccolo errore ortografico, oppure nella lettura rapida ed approssimativa che spesso si utilizza per gli url l’utente non riesce a rendersi conto della piccola differenza.

Si tratta di un grosso problema per le aziende, vediamo ora un esempio di typosquatting in una mail di phishing di CartaSi.

typosquatting

In questo caso il dominio vittima è CartaSi, vediamo come il mittente del messaggio ed anche il link a cui si accede cliccando usa un dominio cartasj.com con la “j” al posto della “i”.

Cliccando sul link ad attenderci c’è un classico portale di phishing che riproduce fedelmente il portale originale di cartaSi, ma ad attenderci ci sono dei criminali informatici pronti a raccogliere le nostre credenziali.

Effettuando un whois del dominio cartasj.com

Domain Name: CARTASJ.COM
Registry Domain ID: 1986700749_DOMAIN_COM-VRSN
Registrar WHOIS Server: whois.register.it
Registrar URL: http://we.register.it
Updated Date: 2015-12-10T00:00:00Z
Creation Date: 2015-12-10T00:00:00Z
Registrar Registration Expiration Date: 2016-12-10T00:00:00Z
Registrar: REGISTER.IT S.P.A.
Registrar IANA ID: 168
Registrar Abuse Contact Email: abuse[at]register.it
Registrar Abuse Contact Phone: +39.0353230310
Reseller:
Domain Status: ok
Registry Registrant ID:
Registrant Name: Global Domain Privacy
Registrant Organization: GLOBAL DOMAIN PRIVACY
Registrant Street: Via Zanchi 22
Registrant City: Bergamo
Registrant State/Province: BG
Registrant Postal Code: 24126
Registrant Country: IT
Registrant Phone: +39.0353230400
Registrant Phone Ext:
Registrant Fax: +39.0353230312
Registrant Fax Ext:
Registrant Email: z16coim68fttx5wf@registerprivateregistration.com
Registry Admin ID:
Admin Name: Global Domain Privacy
Admin Organization: GLOBAL DOMAIN PRIVACY
Admin Street: Via Zanchi 22
Admin City: Bergamo
Admin State/Province: BG
Admin Postal Code: 24126
Admin Country: IT
Admin Phone: +39.0353230400
Admin Phone Ext:
Admin Fax: +39.0353230312
Admin Fax Ext:
Admin Email: z16coim68fttx5wf@registerprivateregistration.com
Registry Tech ID:
Tech Name: Technical Support
Tech Organization: Register.it S.p.A.
Tech Street: Via Montessori s/n
Tech City: Bergamo
Tech State/Province: BG
Tech Postal Code: 24126
Tech Country: IT
Tech Phone: +39.0353230400
Tech Phone Ext:
Tech Fax: +39.0353230312
Tech Fax Ext:
Tech Email: 
Name Server: NS1.REGISTER.IT
Name Server: NS2.REGISTER.IT
DNSSEC: unsigned
URL of the ICANN WHOIS Data Problem Reporting System: http://wdprs.internic.net/

Possiamo osservare le informazioni sul vero responsabile del dominio sono state offuscate utilizzando le funzionalità di privacy offerte da molti fornitori di servizi, ma che è stato registrato sfruttando un registrant italiano, a conferma che il phishing è un fenomeno globale ma per sconfiggerlo è necessario conoscere le realtà locali.

30 Marzo 2016