Pronto per lo shopping? Hai preparato la tua lista? Hai gli occhi ben aperti per scovare gli affari? Gia ti vedo prepararti una tazza di caffe, sederti alla tastiera, digitare il nome del tuo sito per lo shopping preferito, inserire le informazioni di pagamento della tua carta, premere il pulsante “acquista” et voila!

Sei stato truffato!

Ok, forse non incapperai nel finto sito di un rivenditore, ma, ehi, le possibilita che cio accada sono cresciute come una foresta di vischio parassitario. In base a una ricerca di Venafi, il numero totale di certificati TLS (Transport Layer Security) usati dai domini di typosquatting per dare l’impressione di essere sicuri e del 400% piu alto del numero di domini di vendita autentici.

Ecco i numeri: Venafi ha trovato 109.045 certificati TLS su domini simili agli originali, rispetto a 19.890 su siti di vendita autentici. Oltre la meta dei certificati usati sui domini impostori erano certificati di Let’s Encrypt, un’autorita di certificazione automatica che emette certificati gratuiti… compresi, per dire, i 15.270 certificati di “PayPal” emessi nel 2017 a siti usati per il phishing.

I numeri sono abbastanza sorprendenti: significa che attualmente ci sono 4 volte piu siti falsi che siti di vendita legittimi. Il numero e piu che raddoppiato dal 2018.

Fai attenzione a quello che digiti

Cio rende gli errori di battitura piu pericolosi che mai. Sai come funziona: digiti velocemente un URL che usi sempre, ma questa volta sbagli e per errore inverti, aggiungi o cancelli una singola lettera e premi invio. E all’improvviso non sei piu in Kansas, Toto. Sei fortunato se ottieni un messaggio di errore 404. Ma c’e anche il rischio elevato di finire sul sito alla Nigthmare Before Christmas di un phisher, simile all’originale ma con l’unico scopo di rubarti i dati della carta di credito.

Venafi ha scoperto che ci sono oltre 49.500 domini di typosquatting che puntano ai clienti dei piu importanti rivenditori statunitensi. Per quanto riguarda il Regno Unito, ci sono oltre 6 volte piu domini impostori che domini validi tra i 20 piu importanti rivenditori online.

A ogni modo, non tutti questi siti sono necessariamente controllati dai phisher. In passato abbiamo analizzato i domini di typosquatting e abbiamo scoperto che, a dispetto di quello che ci si potrebbe aspettare da siti che registrano di proposito errori di ortografia di URL comuni, non erano pieni di malware.

Infatti, solo il 3% dei siti era attribuibile a criminali informatici. I pop-up e la pubblicita erano molto piu comuni (il 15%), mentre il 12% erano pagine di societa IT o di hosting che proponevano la vendita di nomi di dominio interessanti.

Tuttavia, Venafi ha dichiarato di aver rilevato una “crescita incontrollata” del numero di domini dannosi simili agli originali usati nello specifico per attacchi di phishing.

Jing Xie, ricercatore senior in ambito di intelligence sulle minacce informatiche, ha dichiarato in un comunicato stampa che la crescita dei certificati TLS nei siti di typosquatting e il risultato della spinta al maggior, e potenzialmente totale, criptaggio del traffico web, che lui ha definito:

una tendenza che generalmente migliora la sicurezza per gli utenti, ma inavvertitamente introduce una nuova sfida ai metodi di individuazione del phishing esistenti.

E gia abbastanza difficile individuare i siti di vendita falsi dall’aspetto, dato che imitano con attenzione loghi, schemi di colori, altre caratteristiche del branding e il funzionamento dei siti reali. Cio che rende questo compito ancora piu difficile e che questi siti si nascondono sotto le mentite spoglie dei certificati TLS.

Il lucchetto non e garanzia di sito sicuro

Come spiegato in precedenza, i certificati TLS sono usati dai siti web che comunicano tramite connessioni criptate HTTPS. Sono usati per firmare la chiave di crittografia pubblica di un sito web, che garantisce che la comunicazione con quel sito web e privata e sicura: sai con quale sito stai comunicando e che nessun altro sta ascoltando.

Ma non puoi sempre fidarti di un sito solo perche ha un certificato: la proliferazione di siti di vendita simili agli originali che sfruttano il typosquatting e solo l’ultimo esempio del perche.

A giugno, l’FBI ha avvertito in un comunicato che troppi utenti vedono il simbolo del lucchetto e la “S” alla fine di HTTP come una garanzia tacita dell’affidabilita di un sito.

Data la facilita con cui si puo ottenere un certificato TLS valido in modo gratuito, oltre alla possibilita che il sito legittimo sia vittima di hijack, questa supposizione e diventata sempre piu pericolosa.

Sfortunatamente, i criminali informatici hanno notato la confusione sull’HTTPS e cio ha portato a un numero sempre maggiore di attacchi di phishing che la sfruttano per cogliere di sorpresa gli utenti. Dal comunicato dell’FBI:

Gli [autori di attacchi di phishing] incorporano sempre piu spesso certificati del sito web (verifiche di terze parti che certificano la sicurezza di un sito) quando inviano alle potenziali vittime e-mail che imitano societa affidabili o contatti e-mail.

Cosa fare?

Ovviamente, fare attenzione quando digiti e importante, ma se hai le dita di pastafrolla non ti devi scoraggiare:

Anche se non digiti sempre correttamente, puoi provare a usare uno strumento per la gestione delle password. Si tratta di un buon mezzo di difesa perche non viene ingannato dagli URL che sembrano corretti agli occhi inclini agli errori degli umani, ma individua le modifiche agli URL introdotte dai typosquatter che spesso sono troppo sottili perche ce ne possiamo accorgere.

[embedded content]

Se individui una tentativo di phishing, fa’ la tua parte per aiutare gli altri. Puoi segnalare le potenziali minacce informatiche a Sophos tramite la nostra pagina di invio di file campione.

Save & Share Cart
Your Shopping Cart will be saved and you'll be given a link. You, or anyone with the link, can use it to retrieve your Cart at any time.
Back Save & Share Cart
Your Shopping Cart will be saved with Product pictures and information, and Cart Totals. Then send it to yourself, or a friend, with a link to retrieve it at any time.
Your cart email sent successfully :)