Quando un errore di battitura nel dominio ti porta su un sito falso. Ecco come funziona, perche' e' cosi' efficace e come MailSniper lo rileva nelle email.
Il typosquattinge' una tecnica in cui un attaccante registra un dominio quasi identico a uno legittimo, ma con un piccolo errore di battitura. L'obiettivo? Ingannare chi scrive l'indirizzo a mano o chi legge di fretta un link in un'email.
Pensa a quante volte scrivi un indirizzo web velocemente. maiisniper.it invece di mailsniper.it. mailsiper.it senza la “n”. mailsnlper.itcon una “l” al posto della “i”. A colpo d'occhio, la differenza e' quasi invisibile.
Perche' il nome “typosquatting”?
Viene da “typo” (errore di battitura) + “squatting” (occupazione abusiva). Letteralmente: occupare un dominio basandosi sugli errori di battitura altrui. E' anche chiamato URL hijacking.
L'attaccante identifica un brand target (la tua azienda, la tua banca, un servizio popolare) e registra decine di varianti con errori comuni: lettere scambiate, lettere mancanti, estensioni diverse (.com invece di .it, .co invece di .com).
Sul dominio falso viene costruito un clone del sito originale, oppure viene configurato un server email per inviare messaggi che sembrano provenire dal brand legittimo.
L'attaccante invia email con link al dominio typosquat, oppure invia email direttamente dal dominio falso. "Ciao, ti mando la fattura aggiornata" — ma il mittente e' fornitore@aziend4.it invece di fornitore@azienda.it.
La vittima inserisce le credenziali nel sito falso, oppure scarica un allegato infetto. L'attaccante ha ottenuto l'accesso. In pochi secondi, senza che la vittima se ne accorga.
I criminali sono creativi. Ecco le tecniche typosquat piu' usate:
"amzon.com" invece di "amazon.com", "gogle.com" invece di "google.com". Le dita sbagliano, l'attaccante incassa.
"mailsnper.it" (manca la i), "googgle.com" (g doppia). Errori che si fanno scrivendo di fretta sulla tastiera.
"rnaiisniper.it" — la "m" sostituita con "rn". Oppure "0" (zero) al posto di "O", "l" al posto di "I". A schermo, sono quasi uguali.
"mailsniper.com" invece di "mailsniper.it", oppure ".co" al posto di ".com". Molti utenti non controllano l'estensione del dominio.
Riconoscere un dominio typosquat a occhio nudo e' difficile. Per questo MailSniper lo fa automaticamente. Ecco come:
Ogni link in ogni email viene analizzato in tempo reale. MailSniper confronta i domini con quelli legittimi conosciuti e rileva le varianti typosquat.
Il motore anti-impersonation rileva quando un'email finge di provenire da un brand noto usando un dominio simile ma falso.
I domini typosquat raramente hanno record SPF/DKIM/DMARC configurati correttamente. MailSniper lo rileva e blocca l'email.
I domini typosquat sono spesso appena registrati. MailSniper controlla l'eta' del dominio e la sua reputazione: un dominio nuovo che imita un brand noto e' un segnale d'allarme.