Sarà capitato a tutti di fare errori di ortografia o piccoli refusi digitando velocemente indirizzi o URL di siti web.

E’ un aspetto spesso sottovalutato, ma la cosa che non tutti sanno è che una minima variazione di testo può far cadere gli utenti in una vera e propria trappola informatica.

Stiamo parlando del typosquatting.

typosquatting

In questo articolo approfondiremo caratteristiche, modus operandi e come riconoscere e difendersi da questa insidiosa minaccia.

  1. Cos’è il typosquatting
  2. Gli obbiettivi del typosquatting
  3. Come funziona l’inganno
  4. Typosquatting tramite finte mail di marketing
  5. Tipologie ed esempi di typosquatting
  6. Come prevenire la minaccia

Cos’è il typosquatting

Il typosquatting (termine composto da squatting, “occupazione abusiva”, e typo, “errore di battitura”), è noto anche come dirottamento dell’URL.

E’ un attacco basato sul social engineering che fa leva su piccoli, quasi impercettibili, errori di ortografia o piccole variazioni di testo formulate dagli utenti durante le loro ricerche nel browser.

Gli hacker registrano domini di siti web noti deliberatamente scritti in modo errato, dotati di un URL molto simile a quello del sito reale. In tal modo, quando la vittima digita inavvertitamente un URL errato, viene dirottato su pagine web fraudolente.

Il problema è che queste sono indistinguibili dalle originali, il che inganna l’utente facendogli credere che il sito che sta visualizzando sia quello legittimo.

I pirati informatici riescono, infatti, ad emulare perfettamente l’aspetto dei portali originali, sperando che gli utenti divulghino i propri dati personali.

Di norma queste landing page fittizie, sono infarcite di adware, oppure possono presentare form su cui l’utente è invitato a inserire informazioni  personali ed estremi di pagamento.

Ed ecco che s’innescano:

Come spesso accade, il problema non è soltanto per i fruitori. Anche le organizzazioni e i provider i cui i siti web vengono contraffatti subiscono pesanti ripercussioni.

Prime fra tutte:

  • il danno reputazionale
  • la perdita di fiducia da parte dei clienti
  • considerevoli danni economici

Insomma: a causa del typosquatting, ogni visitatore derubato per l’azienda è potenzialmente un cliente perso.

Gli obbiettivi del typosquatting

Gli obbiettivi di questo cyberattacco sono molteplici e possono variare in base alla tipologia di dirottamento effettuato.

In generale gli scopi di queste truffe si possono racchiudere in:

  • Diffusione di malware
  • Furto delle informazioni degli utenti (nomi utente, password, SSN e numeri di carte di credito)
  • Intercettazione del traffico indirizzato a siti ufficiali per ottenere un maggior traffico (e dunque una maggiora visibilità e monetizzazione) verso il proprio sito web
  • Frode pubblicitaria attraverso il reindirizzo del traffico alla concorrenza o verso il marchio stesso tramite link di affiliazione che permettono di guadagnare una commissione a ogni clic
  • Bait and Switch; cioè vendita online di prodotti o servizi contraffatti
  • Svalutazione di un sito o azienda target al fine di minare la sua credibilità agli occhi degli utenti
  • Domain Squatting; cioè la rivendita del nome di dominio al vero proprietario del marchio per un importo maggiore traendo profitto dall’estorsione

La motivazione, insomma, è quasi sempre di natura economica.

L’obiettivo a più ampio respiro consiste solitamente nel furto di:

  • denaro
  • proprietà intellettuale
  • dati sensibili

che possono essere venduti sul dark web o conservati per il riscatto.

Come funziona l’inganno

Gli attacchi di typosquatting hanno inizio con l’acquisto e la registrazione di un nome di dominio falso quasi identico a quello di un sito Web ufficiale.

Ovviamente, il gioco sta tutto nella presenza dei refusi: sono proprio questi a tenere rendere possibile la minaccia.

Per avere un’idea, si potrebbe immaginare l’URL ufficiale di un sito web come www.esempio.com, mentre la versione frutto del typosquatting come www.esempiio.com.

Come si può notare, ad occhi non particolarmente attenti e soprattutto inconsapevoli della minaccia, la presenza di una doppia “i” potrebbe passare totalmente inosservata.

A questo punto, il typosquatter attende che l’utente commetta un errore di battitura durante le ricerche web.

In larga misura, il typosquatting si basa sulla confusione o sul semplice errore umano, ad esempio:

  • un comune errore di ortografia o battitura nel dominio di destinazione
  • l’utilizzo di un’ortografia alternativa di nomi di prodotti o servizi comuni possono trarre in inganno gli utenti
  • una terminazione di dominio diversa (utilizzando .it invece di .com o .eu ecc.)
  • aggiunta di parole correlate nel dominio
  • aggiunta di punti o trattini all’URL (go.ogle.com);
  • utilizzo di lettere dall’aspetto simile per camuffare il falso dominio (goògle.com).

Typosquatting tramite finte mail di marketing

In linea di massima la registrazione di un domino di typosquatting non è di per sé pericolosa. Se un sito esiste, ma nessuno vi accede cambia poco o nulla.

Diventa rischioso nel momento in cui gli utenti cominciano a visitarlo. Ecco perché l’hacker si industria nel trovare tecniche alternative per farvi affluire traffico.

Gli aggressori possono camuffare il dominio malevolo sfruttando differenti metodologie.

Ecco perché spesso optano per l’invio di e-mail di phishing.

Sempre sfruttando il typosquatting, l’hacker registra un indirizzo di posta elettronica fasullo, ma sempre apparentemente identico all’originale. Da questo, inoltra finte e-mail di marketing convincendo le persone di star ricevendo messaggi reali da un’azienda o un’organizzazione fidata.

In tal modo, le induce a fare clic sui link presenti nelle mail, i quali li indirizzano al sito web contraffatto.

Tipologie ed esempi di typosquatting

Gli usi più comuni dei domini di typosquatting includono:

  1. contraffazione di siti web ufficiali, in cui i typosquatter spacciano il loro falso indirizzo per quello reale, emulandone anche grafica e stile
  2. scambi di prodotti contraffatti e acquisti digitali difficili da contestare sull’estratto conto di una carta di credito. L’acquirente non riceve l’articolo desiderato, ma lo paga comunque.
  3. finti sondaggi che fingono di raccogliere il feedback dei clienti. In realtà, lo scopo è raccogliere informazioni o dati sensibili.
  4. link di affiliazione, che spesso sfruttano l’influencer marketing come mezzo di diffusione. In sostanza all’influencer viene fornito un link da sponsorizzare che, anziché rimandare al portale ufficiale, rimanda alla versione contraffatto
  5. Monetizzazione: in questo caso, vengono sfruttate le inserzioni presenti sulla pagina. Quanto più vengono visualizzate, tanto più l’hacker ci guadagna.

Come prevenire la minaccia

I fronti per combattere questa tipologia di cybercrimine sono due, l’impegno deve provenire dall’azienda detentrice di un indirizzo URL e dagli utenti che effettuano le ricerche online.

Le singole persone possono provare a ridurre al minimo il rischio di cadere vittima di typosquatting:

  1. mai fare click su link o scaricare allegati provenienti da mail o messaggi sospetti
  2. controllare attentamente gli URL prima di farvi clic, assicurandosi che non vi siano refusi o errori ortografici di alcun tipo
  3. aprire le pagine web soltanto dalla pagina delle ricerche e non mediante la compilazione automatica offerta dal browser
  4. non digitare direttamente l’URL, ma affidarsi ai motori di ricerca.

Per la loro configurazione di default, infatti, gli URL risultano difficilmente leggibili, quindi è meno probabile accorgersi di eventuali refusi. Per cui resta sempre preferibile privilegiare la ricerca tramite parole chiave o salvare i siti tra i preferiti che si visitano più di frequente.

Per i proprietari di siti web, invece,, la strategia migliore è cercare di stare al passo con gli attacchi di typosquatting e quindi prevenirli.

Tra le principali le best practice :

  1. utilizzare un servizio di monitoraggio ICANN (Internet Corporation for Assigned Names and Numbers) che, attraverso un database coperto a livello nazionale ed internazionale, permette di scoprire se il proprio nome di dominio sia stato già compromesso con versioni fraudolente
  2. registrare di differenti versioni del proprio nome di dominio, con tutti gli errori di ortografia e battitura che potrebbe potenzialmente sfruttare un hacker
  3. certificare il proprio sito web mediante SSL, così facendo se ne portà attestare l’attendibilità e, nel momento in cui l’utente dovesse atterrare su una versione contraffatta, potrebbe immediatamente constatare la truffa
  4. rimuovere siti web ed eventuali server di posta elettronica non autorizzati