News

Typosquatting e attacco omografico: cosa sono e come evitarli

Nel Social Engineering (la tecnica di attacco informatico che sfrutta debolezze umane e comportamenti avventati) per ingannare gli utenti più frettolosi e poco attenti viene utilizzata una pratica di pirateria informatica chiamata Typosquotting (da squatting, occupazione abusiva, e typo, errore di battitura) o URL Hijacking.

Consiste nella registrazione di domini con nomi molto simili agli originali, appartenenti a marchi noti o all’azienda obiettivo dell’attacco informatico, con la finalità di attirare la navigazione degli utenti in siti fasulli e di ottenere così dati personali, di diffondere malware o rendere più credibile una mail di phishing.

I domini typosquatted sono moltissimi, alcuni famosi esempi sono:

  • yotube.com
  • yutube.com
  • facebok.com
  • goggle.com
  • bankitalia.it
  • republica.it

I Typosquatter utilizzano come esca delle mail di Phishing, inerenti ad esempio l’avviso di un account in scadenza o la richiesta di conferma dei propri dati bancari oppure la sponsorizzazione di sconti accattivanti da parte di brand molto noti. La finalità del contenuto di queste mail è di portare l’utente a cliccare sul link presente all’interno di esse così da indirizzarlo in questi siti  fasulli creati ad hoc per compiere furti d’identità, di credenziali o estorcere denaro.

In italiano si dicono “omografi” quei caratteri che sono rappresentati da uno stesso segno grafico ma differente significato fonico. Ad esempio la lettera cirillica a (“A”) può sembrare identica alla lettera minuscola latina a (“a”). Altresì ci sono diversi caratteri che si assomigliano come  0 (il numero) e O (la lettera), “l” minuscola L e “I” maiuscola “i”, attacchi basati su queste somiglianze sono noti come attacchi di spoofing omografici e sono spesso usati per la realizzazione di indirizzi mail con domini typosquatted, rendendo così il più possibile credibile il mittente di una mail di phishing.

IDN Homograph Attack

Mentre il Typosquatting fa affidamento sull’errore umano e sulla fretta realizzando indirizzi URL molto simili a quelli originali, l’attacco omografico al nome di dominio internazionalizzato (IDN Homograph Attack) è un attacco informatico che sfrutta la somiglianza di molti caratteri ma appartenenti ad alfabeti diversi.

La codifica Unicode utilizzata nel linguaggio informatico è un sistema che assegna un numero univoco ad ogni singolo carattere, permettendo di interpretare correttamente i caratteri utilizzati in un indirizzo o in una pagina web. In questo modo diventa possibile il trattamento informatico degli indirizzi URL in lingue diverse.

La codifica dei caratteri più utilizzata è lo standard ASCII (American Standard Code for Information Interchange) ma mentre Unicode sfrutta codifiche da 8, 16 o 32 bit, ASCII usa quelle da 7 o 8 bit, di conseguenza moltissimi caratteri disponibili su Unicode non possono essere rappresentabili in ASCII. Per bypassare questo problema è stato implementato il sistema Punycode che permette ai nomi di dominio composti da caratteri non-ASCII (Unicode) di essere rappresentati in ASCII.

Questa implementazione ha però introdotto una nuova tipologia di minaccia informatica chiamata attacco omografico al nome di dominio internazionalizzato (IDN Homograph Attack), consentendo di realizzare nomi di dominio graficamente e visibilmente indistinguibili da quelli originali una volta visualizzati nella barra degli indirizzi di alcuni browser.

Lo scorso anno Xudong Zheng, sviluppatore web, utilizzando la codifica Punycode dei caratteri cirillici ha dimostrato come fosse possibile far vedere nelle versioni precedenti di alcuni browser il dominio “apple.com” in realtà registrato come “xn--80ak6aa92e.com” (sistema Punycode).

Clicca sul link, se nella barra dell’URL comparirà l’indirizzo apple.com significa che il tuo browser ha bisogno di essere aggiornato. Mettilo alla prova: apple.com

Come possiamo difenderci dagli attacchi typosquatting e quelli omografici?

Per non cadere vittime di questa tipologia di attacchi informatici, elenchiamo qui di seguito alcuni suggerimenti:

  • Nel web non avere fretta e leggere sempre con molta attenzione i domini degli indirizzi web.
  • Tenere aggiornati i propri browser.
  • Prima di cliccare su un link, posizionarsi con il mouse sopra ad esso e controllare la preview dell’indirizzo al quale esso punta.
  • Utilizzare estensioni create ad hoc, quali ad esempio Punycode Alert (per Chrome) o Quero Toolbar.
Typosquatting e attacco omografico: cosa sono e come evitarli