mai1sniper.it vs mailsniper.it. Riesci a vedere la differenza? I tuoi dipendenti forse no. Ecco come funzionano i domini sosia e perche' sono cosi' pericolosi.
Un lookalike domain(dominio sosia) e' un dominio registrato appositamente per assomigliare a quello di un'organizzazione legittima. L'obiettivo e' semplice: ingannare chi legge l'indirizzo email o l'URL e farlo credere autentico.
A differenza dell'email spoofing classico (dove il campo “From:” viene falsificato), il lookalike domain e' un dominio reale, effettivamente registrato dall'attaccante. Questo significa che puo' avere SPF, DKIM e DMARC configurati correttamente. Passa i controlli di autenticazione. E' tecnicamente “legittimo”.
Ecco perche' e' cosi' pericoloso: le difese tradizionali basate solo sull'autenticazione email non bastano. Serve un'analisi visiva e contestuale del dominio.
I criminali hanno un arsenale di trucchi per registrare domini che sembrano identici a quelli legittimi:
Errori di battitura intenzionali: "mailsnper.it" (manca la i), "maiilsniper.it" (i doppia), "mailsniper.ti" (TLD invertito). Sfrutta le dita che sbagliano e gli occhi che leggono di fretta.
Domini con parole aggiunte o sottratte: "mailsniper-security.it", "mailsniper-italia.it", "mailsniperonline.it". Sembrano varianti ufficiali, ma non lo sono.
Uso di caratteri Unicode visivamente identici: la "a" cirillica al posto della "a" latina, lo zero al posto della "o", la "l" minuscola al posto della "I" maiuscola. A schermo, indistinguibili.
Stesso nome, estensione diversa: ".com" invece di ".it", ".co" invece di ".com", ".net" invece di ".org". Molti utenti non controllano mai il TLD.
"mailsniper.it.evil-domain.com" -- il dominio reale e' evil-domain.com, ma "mailsniper.it" appare all'inizio dell'URL. Un trucco vecchio ma ancora efficace.
"mail-sniper.it", "mail--sniper.it". I trattini cambiano il dominio ma l'occhio umano tende a ignorarli, specialmente nei link lunghi.
Un lookalike domain da solo e' solo un dominio. Diventa pericoloso quando viene usato in uno di questi scenari:
L'attaccante invia un'email da "fornitore@aziend4.it" (con il 4 al posto della a) chiedendo di cambiare l'IBAN per il prossimo pagamento. L'email e' perfetta: tono giusto, firma giusta, importi corretti. L'unica differenza e' una lettera nel dominio.
Un'email da "it-support@mailsnlper.it" (con la L al posto della I) chiede ai dipendenti di aggiornare la password. Il link porta a un clone del portale aziendale. Le credenziali finiscono nelle mani dell'attaccante.
L'attaccante registra un dominio simile al tuo e invia email ai TUOI clienti: fatture false, offerte truffaldine, comunicazioni fraudolente. I clienti pensano sia la tua azienda. La tua reputazione ne soffre.
L'attaccante si inserisce in una conversazione email esistente usando un dominio sosia. Il destinatario non nota la differenza e risponde all'attaccante invece che al mittente legittimo.
La difesa richiede un mix di tecnologia, processi e consapevolezza:
Perche' DMARC non basta
DMARC protegge il tuodominio dallo spoofing. Ma un lookalike domain e' un dominio diverso, registrato dall'attaccante, con i propri record DNS. Il DMARC del tuo dominio non ha alcun effetto su di esso. Per questo serve un'analisi visiva e contestuale che confronti il dominio mittente con quelli conosciuti.
MailSniper va oltre i controlli di autenticazione standard. Il motore anti-impersonation analizza ogni email in cerca di domini sosia:
Ogni dominio mittente viene confrontato con un database di domini legittimi conosciuti. MailSniper calcola la "distanza visiva" e segnala i domini troppo simili a quelli dei tuoi contatti abituali.
Analisi Unicode avanzata: MailSniper rileva i caratteri visivamente identici provenienti da alfabeti diversi (cirillico, greco, latino esteso). La "a" cirillica non passa inosservata.
I lookalike domain sono spesso registrati da poco. MailSniper controlla l'eta' del dominio, lo storico DNS e la reputazione: un dominio nuovo che imita un brand noto e' un segnale d'allarme immediato.
Puoi configurare i domini dei tuoi fornitori, partner e clienti chiave. MailSniper li monitora attivamente e blocca qualsiasi email proveniente da domini troppo simili.
La tecnica specifica di registrare domini con errori di battitura. Un sottoinsieme dei lookalike domain.
Falsificazione del mittente senza registrare un dominio. Diverso dal lookalike domain ma con lo stesso obiettivo.
Le difese di MailSniper contro chi finge di essere il tuo brand o quello dei tuoi fornitori.