Insight
Typosquatting e Homograph Attack: il nemico si nasconde in un solo carattere
“аррӏе.com” non è “apple.com”: come riconoscere e proteggersi dai domini-trappola
“аррӏе.com” non è “apple.com”: come riconoscere e proteggersi dai domini-trappola
Amaz0n.com. Facbook.com. Poste-it.com. A prima vista sembrano domini legittimi e questa prima vista è esattamente ciò su cui conta l'attaccante. Il typosquatting consiste nel registrare domini simili a quelli di marchi noti, sfruttando errori di battitura comuni o sostituzioni impercettibili, per attrarre utenti verso siti malevoli.
Il principio è semplice ma potente: l'utente riceve un'email con un link, lo guarda velocemente, vede un dominio “familiare” e clicca. Non è una questione di ignoranza, è una questione di attenzione limitata in condizioni di stress o fretta.
Se il typosquatting sfrutta gli errori di battitura, l'IDN Homograph Attack sfrutta qualcosa di più subdolo: la somiglianza visiva tra caratteri di alfabeti diversi. L'alfabeto cirillico, il greco, l'IPA latino contengono caratteri che appaiono identici a quelli latini ma hanno un codice Unicode diverso.*1
Il dominio “аррӏе.com”, con lettere cirilliche, è visivamente indistinguibile da “apple.com”, ma punta a un sito completamente diverso. Senza strumenti specifici, è impossibile distinguerli a occhio nudo.
Nel 2017, un hacker ha registrato il dominio ɢoogle.com (con una 'G' maiuscola di un set Unicode diverso) creando una replica perfetta della homepage di Google che registrava credenziali di accesso.
La tecnica è stata usata contro PayPal, Apple, Microsoft, banche e istituzioni governative in tutto il mondo. Le varianti includono: lettere doppie (gooogle.com), omissioni (gogle.com), inversioni (goolge.com), sostituzioni numero/lettera (amaz0n.com) e caratteri Unicode ingannevoli.
Verificate sempre l'URL completo prima di inserire credenziali. Se il browser mostra 'xn--' all'inizio del dominio, state guardando un indirizzo internazionalizzato che potrebbe essere un attacco homograph.