Quando un dominio sembra identico a quello vero, ma usa caratteri Unicode diversi. L'inganno perfetto, invisibile a occhio nudo.
Un homograph attack (attacco omografo) sfrutta un fatto sorprendente: molti alfabeti del mondo hanno lettere che sembrano identiche a quelle latine, ma sono caratteri Unicode completamente diversi.
La “a” cirillica e la “a” latina? Visivamente uguali. Ma per un computer sono due caratteri diversi, con due codici diversi. Questo significa che un attaccante puo registrare un dominio che sembra identico al tuo, ma che tecnicamente e un dominio completamente diverso.
Immagina di ricevere un'email da “info@mailsniper.it”. Tutto sembra normale. Ma la “i” in “mailsniper” non e una vera “i” latina: e una “i” cirillica. A schermo sono identiche. Nel codice sorgente, sono due mondi diversi.
Perche “omografo”?
“Omografo” viene dal greco: “homo” (uguale) + “grapho” (scrivo). Letteralmente: “scritto allo stesso modo”. Caratteri diversi che producono lo stesso risultato visivo. In inglese si chiama anche IDN homograph attack, perche sfrutta gli Internationalized Domain Names (IDN).
L'homograph attack e piu sofisticato di un semplice typosquatting. Ecco come funziona:
L'attaccante identifica quali lettere del dominio target possono essere sostituite con caratteri Unicode visivamente identici. L'alfabeto cirillico e' il piu' usato: la "a", la "e", la "o", la "p", la "c", la "x" cirilliche sono identiche a quelle latine. Ma anche greco, armeno e altri alfabeti offrono sostituti perfetti.
Il dominio viene registrato usando il sistema Internationalized Domain Names (IDN). In formato Punycode — la rappresentazione ASCII dei caratteri Unicode — il dominio e' chiaramente diverso (es: xn--mailsnper-x9a.it). Ma nei browser e nei client email, viene mostrato con i caratteri Unicode originali, visivamente identici.
L'attaccante configura un server email sul dominio omografo e invia email che sembrano provenire dal dominio legittimo. Oppure crea un sito web clone per raccogliere credenziali. La vittima non ha modo di distinguere il dominio falso da quello vero guardandolo.
La vittima riceve l'email, vede un mittente apparentemente legittimo e agisce: clicca il link, inserisce le credenziali, paga una fattura, invia documenti. L'inganno e' perfetto perche' non c'e' nessun errore di battitura da notare — il dominio sembra scritto correttamente.
Ecco le tecniche di sostituzione piu usate dagli attaccanti:
La "a" cirillica (U+0430) e la "a" latina (U+0061) sono identiche a schermo. Lo stesso vale per e, o, p, c, x, y. Un dominio come "apple.com" puo' essere ricreato interamente in cirillico.
L'omicron greco (U+03BF) e' identico alla "o" latina. Il tau (U+03C4) somiglia alla "t". Combinati con lettere latine, creano domini impossibili da distinguere.
Il dominio "xn--pple-43d.com" (Punycode) viene mostrato come "apple.com" nel browser — ma con la "a" cirillica. Nel 2017 un ricercatore ha dimostrato questo attacco con un certificato SSL valido.
L'approccio piu' subdolo: sostituire solo una o due lettere con i corrispettivi Unicode. Il dominio passa i controlli visivi piu' attenti, perche' la maggior parte delle lettere sono effettivamente latine.
Spesso vengono confusi, ma sono attacchi diversi. Ecco le differenze chiave:
Il dominio sembra identicoa quello vero. Usa caratteri Unicode che sono visivamente indistinguibili. Non c'e nessun errore di battitura da notare. Solo un'analisi del codice Unicode rivela la differenza.
Il dominio e simile ma non identico. Contiene errori di battitura intenzionali: lettere scambiate, mancanti o aggiunte. Un occhio attento puo notare la differenza.
In pratica, l'homograph attack e la versione evoluta del typosquatting. Mentre il typosquatting punta sulla disattenzione, l'homograph attack e impossibile da rilevare a occhio nudo. Serve tecnologia.
L'occhio umano non basta contro gli homograph attack. Servono strumenti tecnici:
Gli homograph attack sono progettati per ingannare le persone. Ma non ingannano MailSniper. Ecco perche:
MailSniper decodifica ogni dominio mittente e ogni URL in Punycode, rivelando i caratteri Unicode nascosti. Se un dominio contiene un mix di alfabeti, viene immediatamente segnalato.
Il motore anti-impersonation confronta i domini nelle email con la tua rubrica aziendale e i brand noti. Un dominio omografo che imita un tuo contatto viene bloccato.
MailSniper protegge sia te che il tuo brand: rileva quando qualcuno usa un dominio omografo per impersonare la tua azienda verso i tuoi clienti.
I domini omografi non hanno i record di autenticazione del dominio originale. MailSniper verifica SPF, DKIM e DMARC e blocca le email che falliscono i controlli.
La versione "base" dell'inganno sui domini: errori di battitura invece di caratteri Unicode.
Falsificazione del mittente email, spesso combinata con domini omografi per massima efficacia.
L'homograph attack e' una delle tecniche piu' sofisticate usate nelle campagne di phishing.