Nel settembre 2023, un evento apparentemente isolato nel mondo delle criptovalute ha rivelato una minaccia ben più ampia che continua a perseguitare Internet da oltre due decenni. I ricercatori di sicurezza informatica hanno scoperto quattro pacchetti dannosi nel registro npm che si spacciavano per strumenti legittimi di Flashbots, un'azienda nota per il suo lavoro nell'ottimizzazione della blockchain Ethereum. Questi impostori, chiamati flashbots-rpc, flashbots-builder, flashbots-relay e flashbots-net, utilizzavano una tecnica insidiosa nota come typosquatting per rubare le chiavi private Ethereum e le frasi seme degli sviluppatori ignari, inviandole tramite canali Telegram agli aggressori.
Questo caso non è un'eccezione, ma rappresenta l'evoluzione moderna di una pratica che sfrutta uno dei comportamenti più umani e naturali nel mondo digitale: commettere errori di battitura. Il typosquatting, infatti, rappresenta una delle forme più pervasive e subdole di abuso nel sistema dei nomi di dominio, trasformando semplici errori tipografici in opportunità criminali su larga scala.
Definizione e Caratteristiche del Typosquatting
Il typosquatting è una pratica speculativa che sfrutta deliberatamente le convenzioni di denominazione e governance di Internet per estrarre profitto dagli errori di digitazione e dagli sbagli tipografici degli utenti . Nello specifico, consiste nella registrazione intenzionale di nomi di dominio che contengono variazioni tipografiche di domini target, solitamente popolari, con l'obiettivo di reindirizzare gli utenti verso destinazioni non intenzionali o rubare traffico per guadagno monetario.
La definizione tecnica più precisa stabilisce che un dominio candidato typo diventa un dominio di typosquatting quando due condizioni fondamentali vengono soddisfatte simultaneamente: deve essere registrato per beneficiare del traffico destinato a un dominio target e deve appartenere a un'entità diversa dal proprietario legittimo.
Le caratteristiche fondamentali del typosquatting includono la sua natura parassitaria, in quanto si basa sull'appropriazione indebita del traffico destinato ad altri; la sua semplicità economica, poiché la registrazione di domini è economica e accessibile; e la sua persistenza temporale, essendo un fenomeno che persiste da oltre vent'anni e continua a evolversi.
Tecniche di Generazione dei Domini Typosquatting
I ricercatori hanno identificato diverse tecniche sistematiche utilizzate dai typosquatter per generare variazioni tipografiche dei domini target, sfruttando errori di ortografia. Le tecniche più comuni, introdotte per la prima volta da Wang et al., includono cinque modelli principali di generazione:
Il missing-dot è un fenomeno che può facilitare il typosquatting, rendendo più facile per i criminali informatici ingannare gli utenti. Si verifica quando viene dimenticato il punto dopo "www", generando domini come wwwSouthwest.com invece di www.Southwest.com. La character-omission comporta l'omissione di un singolo carattere dal nome di dominio originale, come Diney.com al posto di Disney.com. La character-permutation prevede lo scambio di due caratteri consecutivi nel nome di dominio originale, producendo varianti come NYTiems.com per NYTimes.com.
La character-substitution rappresenta una delle tecniche più sofisticate, sostituendo caratteri nel nome di dominio originale con quelli adiacenti su una specifica disposizione di tastiera, come DidneyWorld.com dove "s" è stato sostituito con "d" adiacente sulla tastiera QWERTY. Infine, la character-duplication si verifica quando i caratteri vengono digitati erroneamente due volte, generando domini come Googlle.com.
Studi successivi hanno ampliato queste tecniche di typosquatting con approcci più generalizzati per combattere il typosquatting. Il modello 1-mod-inplace sostituisce un carattere nel nome di dominio originale con tutte le possibili lettere dell'alfabeto, mentre il 1-mod-inflate aumenta la lunghezza di un nome di dominio di un carattere, considerando tutti i caratteri come potenziali candidati . Il 1-mod-deflate rimuove sistematicamente un carattere dal nome di dominio originale.
Oltre alle tecniche tradizionali di typosquatting, sono emerse forme più sofisticate di abuso dei nomi di dominio. Gli attacchi omografici Essi sfruttano la somiglianza visiva di lettere o stringhe che possono essere confuse tra loro, come registrare domini simili a quelli di marchi noti. Ad esempio, www.paypai.com che prende di mira PayPal, dove la "l" minuscola è visivamente confondibile con la "I" maiuscola nei font sans-serif.
Il Il bitsquatting è una forma di attacco che si basa su errori di ortografia nei nomi di dominio. Questa tecnica sfrutta gli errori hardware piuttosto che gli errori umani, dimostrando come anche i computer possano essere vulnerabili a forme di typosquatting e a errori di ortografia.
Il soundsquatting approfitta della somiglianza sonora delle parole, basandosi su omofoni – parole che suonano uguali ma si scrivono diversamente, come "ate" e "eight". Questo tipo di attacco non si basa sugli errori tipografici degli utenti ma sulla confusione cognitiva riguardo alla rappresentazione scritta di concetti sonori.
Strategie di Monetizzazione
I typosquatter utilizzano diverse strategie per monetizzare le loro registrazioni di domini. Il parcheggio di domini rappresenta la tecnica più comune, dove i domini typosquattati servono pubblicità di terze parti per monetizzare il traffico in entrata . Questa pratica può essere sia benigna che malevola, includendo frodi sui clic, furto di traffico e consegna di spam.
La vendita e il riscatto di nomi di dominio costituisce un'altra strategia, dove i domini typosquattati possono non avere contenuti diversi dall'essere pubblicizzati come in vendita, o nei casi estremi, essere trattenuti per riscatto . Il marketing di affiliazione permette ai typosquatter di raccogliere commissioni sulle vendite o tariffe di riferimento reindirizzando i clienti verso siti web aziendali, spesso abusando di programmi legittimi come Amazon Associates.
Il furto di visite comporta il reindirizzamento dei visitatori non solo verso i siti web previsti, ma anche verso siti web di concorrenti, rubando effettivamente traffico destinato ai domini autorevoli . Le truffe rappresentano la forma più dannosa di monetizzazione, dove i visitatori ignari possono cadere vittime di schemi che li inducono a rivelare informazioni personalmente identificabili.
Caratteristiche dei Domini Typosquattati
La ricerca ha identificato diverse caratteristiche distintive dei domini typosquattati. Riguardo alla lunghezza del nome di dominio, studi contrastanti mostrano che mentre alcuni ricercatori osservano una preferenza per domini più brevi da parte dei typosquatter, altri dimostrano che domini typo entro la distanza Damerau-Levenshtein di uno sono confermati come typosquattati indipendentemente dalla lunghezza del dominio popolare.
La popolarità del nome di dominio gioca un ruolo cruciale, anche se i risultati della ricerca mostrano tendenze contrastanti. Mentre inizialmente si credeva che i typosquatter prendessero di mira principalmente i domini più popolari per massimizzare il ritorno sull'investimento, studi più recenti rivelano che il 95% dei domini typo prende di mira la "coda lunga" della distribuzione di popolarità.
L'effetto del Top-Level Domain (TLD) influenza significativamente le probabilità di typosquatting. Il TLD .com, essendo uno dei primi TLD introdotti e rappresentando circa il 40% di tutti i nomi di dominio registrati, costituisce la maggioranza dei domini studiati per il typosquatting. Alcuni TLDi specifici per paese (.it, .uk, .jp, etc.) sono altrettanto abusati. Questo avviene perché le politiche di gestione dei domini di quei paesi possono includere regole meno rigorose e/o procedure di disputa più complesse; laddove questi due fattori coincidano, diviene semplice registrare domini con errori (typosquattati) e difficile de-registrarli nel momento in cui vengano individuati.
Impatti sulla Sicurezza e Rischi
Il typosquatting pone significativi rischi di sicurezza e problemi di esperienza utente, rendendo gli utenti vulnerabili a furto di identità e frodi sui clic. Dal punto di vista della perdita finanziaria, rappresenta una doppia minaccia: per le aziende legittime comporta perdita di traffico, potenziali vendite e diluizione del brand, mentre per i typosquatter abilita profitti attraverso pubblicità, marketing di affiliazione o attività illecite.
Gli attacchi di phishing rappresentano uno dei rischi più gravi, poiché i domini typosquattati vengono frequentemente utilizzati per ospitare pagine di phishing, ingannando gli utenti per rivelare informazioni sensibili. La distribuzione di malware è un altro rischio significativo, con utenti che visitano siti typosquattati esposti a malware che può compromettere i sistemi e rubare dati.
Le truffe online proliferano attraverso i domini typosquattati, incluse truffe di quiz, sondaggi falsi e download ingannevoli. Il fastidio degli utenti e la perdita di tempo rappresentano effetti collaterali inevitabili, poiché gli utenti che digitano erroneamente un nome di dominio vengono spesso reindirizzati a pagine piene di pubblicità o contenuti irrilevanti senza una chiara indicazione del loro errore.
La difficoltà nella rilevazione costituisce un problema sistemico, poiché molti domini typosquattati non compaiono nei motori di ricerca, nelle trappole per spam o nelle blacklist di URL malevoli, rendendoli più difficili da rilevare e mitigare.
Contromisure e Difese
Le contromisure al typosquatting coinvolgono aspetti tecnici e basati su politiche. Dal punto di vista legale e normativo, organizzazioni come ICANN forniscono la Uniform Domain Name Dispute Resolution Policy (UDRP) per mediare le controversie di registrazione di domini per una tassa di deposito relativamente piccola, che varia da $1,300 a $4,000.
La registrazione difensiva rimane forse la migliore strategia preventiva, dove aziende e proprietari di marchi registrano deliberatamente variazioni typo dei propri domini, tenendole fuori dalle mani dei tynosquatter e reindirizzando così gli utenti al dominio corretto . Tuttavia, gli studi mostrano che solo 156 dei top 500 di Alexa hanno registrazioni di domini difensivi, il che significa che 344 domini (68,8%) non hanno registrazioni difensive.
Le soluzioni tecniche al typosquatting stanno evolvendo in diverse direzioni promettenti, inclusi nuovi metodi per registrare domini in modo sicuro. Il feedback dell'utente finale è cruciale per migliorare le difese contro il typosquatting e garantire la sicurezza degli account. Rappresenta una nuova frontiera, dove i sistemi possono utilizzare le caratteristiche ben note dei domini tynosquattati per informare gli utenti sui rischi associati ai nomi di dominio che stanno per visitare, fornendo questo feedback in modo utilizzabile nel browser.
Conclusioni
Il typosquatting rappresenta una minaccia persistente e in evoluzione nell'ecosistema Internet che continua a prosperare grazie alla natura umana di commettere errori tipografici e alla facilità economica di registrazione dei domini. La sua trasformazione da semplice speculazione su domini popolari a un fenomeno che colpisce la "coda lunga" della distribuzione di popolarità dimostra la sua adattabilità e resilienza.
Gli esempi contemporanei, come l'attacco ai pacchetti npm di Flashbots, evidenziano come il typosquatting si sia evoluto oltre i tradizionali domini web per infiltrarsi negli ecosistemi di sviluppo software, rappresentando una minaccia particolarmente insidiosa per la sicurezza della supply chain digitale.
La comprensione approfondita delle tecniche, delle strategie di monetizzazione e dell'impatto del typosquatting è fondamentale per sviluppare contromisure efficaci. Mentre le soluzioni legali e normative forniscono alcuni rimedi, l'approccio più promettente sembra risiedere nella combinazione di registrazione difensiva, soluzioni tecniche innovative e educazione degli utenti.
