{"id":3103,"date":"2014-03-20T16:29:34","date_gmt":"2014-03-20T16:29:34","guid":{"rendered":"http:\/\/kasperskydaily.com\/italy\/?p=3103"},"modified":"2020-02-26T17:22:28","modified_gmt":"2020-02-26T15:22:28","slug":"typosquatting-errori-di-battitura-che-nascondono-malware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/typosquatting-errori-di-battitura-che-nascondono-malware\/3103\/","title":{"rendered":"Typosquatting: errori di battitura che nascondono malware"},"content":{"rendered":"

Ci sono casi in cui un sito web viene compromesso dai cybercriminali e utilizzato per diffondere malware in rete. Ci sono vari metodi per portare gli utenti ai siti web dannosi, uno tra questi \u00e8 il cosidetto \u201ctyposquatting\u201d.<\/p>\n

\u00c8 molto frequente commettere qualche errore di battitura quando si digita un indirizzo Internet nel browser. I cybercriminali spesso approfittano di queste sviste per dirigere gli utenti verso i loro siti web dannosi, e non ai siti Interent che inizialmente volevano visitare. Questa tecnica si chiama \u201ctyposquatting\u201d, unione tra \u201ctypo\u201d e \u201csquat\u201d, anche conosciuta come \u201cURL hijacking\u201d. I cybercriminali registrano un nome di dominio molto simile a un dominio gi\u00e0 esistente e molto conosciuto tra gli utenti e poi non fanno altro che aspettare che un utente faccia qualche errore di battitura ed entri nel loro sito. Si tratta di un bel problema per le aziende, alcune delle quali hanno persino fatto causa ai typosquatter per i danni subiti.<\/p>\n

Tuttavia, il typosquatting \u00e8 una seria minaccia anche per i consumatori. Gli utenti potrebbero trovarsi inavvertitamente all\u2019interno di siti spam e, nel peggiore dei casi, i loro computer potrebbero essere infettati dai malware contenuti in questi siti Internet falsi. Tutto vi sar\u00e0 pi\u00f9 chiaro con un esempio concreto.<\/p>\n

Il typosquatting \u00e8 una seria minaccia anche per i consumatori. Gli utenti potrebbero trovarsi inavvertitamente all\u2019interno di siti spam e, nel peggiore dei casi, i loro computer potrebbero essere infettati dai malware contenuti in questi siti Internet falsi.<\/div>\n

Caso tipico di typosquatting: indirizzo di posta elettronica di Gmail<\/b><\/p>\n

Innanzitutto, vediamo in che modo noi di Kaspersky Lab cerchiamo di ridurre le infezioni via malware. Quando troviamo un sito Internet infetto, proviamo a contattare l\u2019amministratore del sito per avvisarlo. Nell\u2019immagine che vi proponiamo qui di seguito potete visualizzare tutte le informazioni WHOIS di un sito Internet che inavvertitamente ospita un malware. Nel campo \u201cAdministrative Contact\u201d troviamo la stringa di caratteri \u201cA***3JP\u201d; si tratta di un JPNIC Handle (gestito da JPRS, il Japan Registry Service), ovvero una sequenza alfanumerica che serve a localizzare gli amministratori di un sito Internet (in certi casi, questa stringa pu\u00f2 essere sostituta da un indirizzo email).<\/p>\n

\"squat-01\"<\/a><\/p>\n

Bene, vediamo chi sono gli amministratori del dominio \u201cA***3JP\u201d:<\/p>\n

\"squat-02\"<\/a><\/p>\n

Nel campo \u201cE-Mail\u201d si trova l\u2019indirizzo di posta elettronica della persona da avvisare nel caso in cui venga infettato il sito Internet: \u00e8 proprio in questo modo che abbiamo individuato gli amministratori del sito. Uno dei modi per evitare che un malware si diffondi ulteriormente \u00e8 informare gli amministratori che nel loro sito c\u2019\u00e8 qualcosa che non va.<\/p>\n

Se analizziamo attentamente l\u2019indirizzo, notiamo che c\u2019\u00e8 un errore: sembra un normale indirizzo di posta di Gmail (del tipo xxxx@gmail.com), ma in realt\u00e0 manca un lettera.<\/p>\n

In alcuni paesi \u00e8 obbligatorio per legge inserire i dati corretti del dominio. Tuttavia in Giappone, ad esempio, ci sono casi in cui l\u2019informazione registrata presenta alcuni errori e, il che \u00e8 anche peggio, pu\u00f2 capitare che vengano registrati apposta dati non corretti. Se viene dato un indirizzo mail sbagliato, non possiamo avvisare l\u2019amministratore web il quale si converte in vittima di un attacco da parte di cibercriminali e contemporaneamentee in \u201ccarnefice\u201d, nel senso che diffonde inconsapevolmente il malware con il quale \u00e8 stato infettato il suo sito. Nel caso specifico del nostro esempio, l\u2019intenzione che si nasconde questo dominio simil-Gmail \u00e8 piuttosto chiara: si tratta di una trappola creata ad arte dai typosquatter e lanciata nel Web in attesa che qualche utente scarichi il falso installer contenente un malware.<\/p>\n

A quanto pare si pu\u00f2 visualizzare il sito Internet con l\u2019indirizzo in questione in diverse lingue, a seconda della zona di provenienza dei visitatori: giapponese, tedesco, spagnolo, italiano, olandese, polacco, portoghese, russo, svedese e turco. Per ragioni sconosciute, non \u00e8 possibile visualizzare la pagina in inglese. Diamo un\u2019occhiata alle seguenti screenshot: il falso sito somiglia molto a un sito Internet piuttosto conosciuto e non sorprende quindi che i visitatori abbiano inconsapevolmente scaricato e installato oggetti dannosi.<\/p>\n

In giapponese:<\/p>\n

\"Jap\u00f3n\"<\/a><\/p>\n

E in russo:<\/p>\n

\"Ruso\"<\/a><\/p>\n

Nel post di oggi abbiamo parlato dell\u2019importanza d\u2019inserire informazioni di dominio corrette, di come funziona il typosquatting e di un caso in cui ci siamo imbattuti durante le nostre ricerche. Il fenomeno del typosquatting non \u00e8 affatto una novit\u00e0, anzi, \u00e8 una tecnica piuttosto usata per ingannare gli utenti che continua a mietere moltissime vittime nonostante gli anni. Cosa fare per evitare i malware derivanti dal typosquatting? Aggiornare regolarmente il sistema operativo e il software antivirus<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

Ci sono casi in cui un sito web viene compromesso dai cybercriminali e utilizzato per diffondere malware in rete. Ci sono vari metodi per portare gli utenti ai siti web dannosi, uno tra questi \u00e8 il cosidetto \u201ctyposquatting\u201d.<\/p>\n","protected":false},"author":212,"featured_media":3105,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2641],"tags":[632,22,45],"class_list":{"0":"post-3103","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-threats","8":"tag-cybercriminali","9":"tag-malware-2","10":"tag-sicurezza"},"hreflang":[{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/typosquatting-errori-di-battitura-che-nascondono-malware\/3103\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.it\/blog\/tag\/cybercriminali\/","name":"cybercriminali"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/3103","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/users\/212"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/comments?post=3103"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/3103\/revisions"}],"predecessor-version":[{"id":20388,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/posts\/3103\/revisions\/20388"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media\/3105"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/media?parent=3103"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/categories?post=3103"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.it\/blog\/wp-json\/wp\/v2\/tags?post=3103"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}