Il typosquatting tra fastidio e malware

Trend Micro dirama un alert contro il malware diffuso da molti siti pensati per catturare il traffico casuale, quello di chi sbaglia a digitare una URL. E un lettore di PI si chiede se i typodomini siano legali

Roma - La tecnica è nota ma l'attacco è nuovo di zecca: Trend Micro ha diramato un allarme per un'aggressione in corso sulla rete italiana che prende di mira specificamente gli utenti del Belpaese sfruttando il cosiddetto typosquatting, ossia gli errori di digitazione degli indirizzi web da parte degli utenti.

Secondo il noto produttore di software e sistemi di sicurezza, l'attacco portato da una quantità di domini internet dura da un paio di settimane ed è fondato sulla diffusione di malware. La tecnica, come noto, consiste nel registrare nomi a dominio il più possibile simili a quelli di siti molto noti per intercettarne in parte il traffico, sfruttando gli errori che spesso vengono commessi nel digitare gli indirizzi Web nel browser.

Questi domini fraudolenti generalmente portano gli utenti su una stessa pagina che propone link e immagini allettanti per indurli a scaricare malware pericoloso.
Nel complesso sono più di mille i domini usati per l'attacco, spiega Trend Micro, che fa alcuni esempi di domini a rischio: 3bay.it, 4repubblica.it, corrieere.it, eba7y.it, gazzettaa.it, tyiscali.it e via dicendo.

Chi si collegasse ad uno di questi siti verrebbe dirottato su una pagina con un messaggio che invita ad aggiornare Internet Explorer o ad effettuare una ricerca nel campo "Extra Ricerca". In alcuni casi, è presente anche l'anteprima di un video. "Tutti questi link - spiegano gli esperti di TM - sono fasulli e portano direttamente al malware".

Va detto che non tutto il typosquatting è pericoloso ma è certo che sono sempre di più i siti web nei quali si può cadere vittima di agguati telematici potenzialmente pericolosi per la privacy e per la sicurezza del proprio computer: per questo Trend Micro invita, come sempre, a porre particolare attenzione nel digitare gli indirizzi dei siti web nella barra delle URL del browser e di ricorrere il più possibile a bookmark e preferiti per evitare di dover digitare anche le URL dei siti più utilizzati.
8 Commenti alla Notizia Il typosquatting tra fastidio e malware
Ordina
  • Intravedo in manovre simili anche l'inquietante possibilita' di "giocare a Echelon", in piccolo naturalmente. Immaginiamo di registrare qualche typodominio, ad esempio somigliante a quello di qualche grosso provider (siamo in Italia e le braccine corte le hanno in tanti: in tante/troppe PMI hanno ancora l'indirizzo sul proverbiale gratuito oppure sul provider che sul suo dominio ti fa pagare poco o niente). Immaginiamo poi di assegnargli come server di posta (MX, nei DNS) un server in grado di ingoiare qualsiasi cosa, con una casella catchall o altro meccanismo del genere. Se vogliamo fare i furbi (o se pensiamo di non rispondere mai) mettiamoci magari anche un autoresponder, per generare un falso errore solo a dati gia' incamerati, tanto per far sentire piu' al sicuro l'ignaro mittente. Oppure, meglio ancora, un redirect verso la casella del dominio "vero": se il legittimo destinatario legge il "to", puo' sempre pensare ad un secondo dominio registrato dal proprio stesso provider per questioni di immagine, quindi sentirsi tranquillo.
    Fatto cio', probabilmente basta aspettare quel che arriva, che puo' essere la chiacchiera da bar quanto qualcosa di piu' importante.
    La legislazione italiana e' giustamente severa quanto all'intercettazione della corrispondenza, ma dato che da sempre viene contestata (leggasi PEC, come se strumenti come GPG non fossero gia' disponibili da un pezzo) l'attendibilita' delle e-mail pure e semplici, potrebbe addirittura bastare cio' per limitare i danni, nel caso si venga scoperti.
    non+autenticato
  • a scrivere si sbaglia tutti seu uno scrive corrieree o corieree posso anche capirlo, ma davvero la vedo dura scrivere per sbaglio 7bay 4galline 3caniegatti e cosi' via. Comunuque ritengo che il problema debba essere affrontato da parte di chi gestisce i domini come ad esempio il nic. Se il nome e' sospetto (voglio dire su uno che vuole registrare il sito docceegabbanna qualche dubbietto lo avrei) si faccia un controllo piu' accurato e si dia il dominio con possibilita' di revoca ove sia riscontrato il typosquatting)
    Punto.
    Semplice.
    AP
  • Non hanno citato le fonti originali:

    http://www.pcalsicuro.com/main/2007/05/gli-avvocat.../
    http://sunbeltblog.blogspot.com/2007/05/massive-it...

    Non hanno detto che Trend Micro, invece, citava le fonti. Non hanno detto che Trend Micro ha semplicemente ripreso gli altri articoli vari giorni dopo. Hanno cancellato i messaggi di chi glielo ha fatto notare ieri.

    Questa e' l'informazione oggi in Italia.
    non+autenticato
  • Confermo in tutto e per tutto quello detto da TNT, e aggiungo il particolare che ieri notte erano presenti due commenti, che stamattina erano magicamente scomparsi
    non+autenticato
  • L'hanno fatto di nuovo... un commento/critica (e non mio) e' stato cancellato...

    Contenti loro. Questo forum e' gia' pessimo ed inutilizzabile dal lato tecnico-pratico, ora poi ci si mette anche la censura nei confronti delle voci che criticano degli articoli. Ciao ciao e chi si e' visto si e' visto.
    non+autenticato
  • ciao TNT

    > Non hanno citato le fonti originali:
    > http://www.pcalsicuro.com/main/2007/05/gli-avvocat
    > http://sunbeltblog.blogspot.com/2007/05/massive-it

    Oppps!! Confesso che mi ero fidato dell'autorevolezza di Trend Micro!


    > Non hanno detto che Trend Micro, invece, citava
    > le fonti.

    TNT, non è vero eh, non c'era traccia nel comunicato di TM di queste fonti. Per fortuna la notizia rimane interessante anche senza quei riferimenti.
    Grazie per averceli sottoposti.


    >Non hanno detto che Trend Micro ha
    > semplicemente ripreso gli altri articoli vari
    > giorni dopo.

    Cioè la notizia era che TM era in ritardo (che pure parla di "alcune settimane") o che era stato usato il typosquatting? Mettiamoci d'accordoOcchiolino


    >Hanno cancellato i messaggi di chi
    > glielo ha fatto notare
    > ieri.

    Ehi c'e' scritto qui sopra eh:

    "La redazione con i controlli a campione si riserva di cancellare qualsiasi contenuto ingiurioso, volgare, illegale o contrario alla policy."


    > Questa e' l'informazione oggi in Italia.

    Massì dai buttiamo tutto al rogo perché nei 3mila link forniti oggi da PI mancavano 2 link che avrebbero dimostrato come TM non è la fonte originaria di una notizia.Sorride

    ciao TNT
    Lamb
    Lamb
    754
  • "TNT, non è vero eh, non c'era traccia nel comunicato di TM di queste fonti. Per fortuna la notizia rimane interessante anche senza quei riferimenti.
    Grazie per averceli sottoposti."

    Non so del comunicato e da dove provenga, ma sul sito: http://blog.trendmicro.com/massive-typo-squatting-.../ il riferimento c'e' eccome.

    Saluti
    non+autenticato
  • >>Non so del comunicato e da dove provenga, ma sul sito: http://blog.trendmicro.com/massive-typo-squatting-.../ il riferimento c'e' eccome.<<

    Il comunicato è diramato dall'Ufficio stampa in Italia di Trend Micro, generalmente del tutto attendibile.
    Ma ripeto quanto detto: la citazione delle fonti, per quanto doverosa sempre (e PI cita più fonti di qualsiasi altra testata giornalistica online...) non è in nessun modo determinante ai fini della notizia. E questo non è secondario per valutare l'informazione data.
    Imho naturalmenteOcchiolino

    >Saluti

    Eh sì saluti anche a te, speravo rispondessi sulle varie cose ma va bene così. L'importante è capirsi.
    Lamb
    754