Typosquatting - Un innocuo errore di battitura con gravi conseguenze

Avete mai sentito parlare di mikerowesoft.com? Oppure il sito web deutschebnak.com vi ricorda qualcosa? I lettori più attenti si saranno accorti che vi si sono intrufolati alcuni errori. Questo tipo di errore si chiama typosquatting, o dirottamento di URL, ed è una forma di cybersquatting. Descrive un attacco di ingegneria sociale in cui gli indirizzi web più diffusi vengono infarciti di errori di battitura per reindirizzare le persone verso siti web illegittimi. Questi siti web di solito contengono pubblicità della concorrenza, malware o addirittura contenuti pornografici.

Cybersquatting e simili

Cybersquatting è un termine che racchiude una serie di attacchi di ingegneria sociale. Il cybersquatting, o domain squatting, consiste nella registrazione di nomi di dominio a cui il richiedente non ha diritto. Può trattarsi di nomi di marchi (brandjacking), di personaggi pubblici (namejacking) o di nomi di aziende. Rientra in questa categoria anche la registrazione di domini con errori di battitura o il cosiddetto typosquatting.

Approfondimento: Typosquatting

Prima o poi tutti sono finiti su un dominio typo. In effetti, è piuttosto facile da realizzare: i criminali informatici registrano domini che assomigliano fortemente a quelli di siti web noti, di solito cambiando solo alcune lettere. Le persone vengono quindi reindirizzate a siti di terzi tramite semplici errori di battitura e, nel peggiore dei casi, interagiscono con essi. Queste interazioni possono includere l'inserimento di dati personali, il clic su link dannosi o il download di malware. Il typosquatting, tuttavia, non riguarda solo i privati. Molte aziende prenotano in anticipo nomi di dominio a 4 cifre per contrastare la perdita di clienti o di traffico dovuta al typosquatting.

Il Typosquatting consente agli aggressori di sfruttare semplici errori umani:

• Errori di ortografia e di battitura
• Ortografia obsoleta o alternativa
• Domini con trattini
• Segni di punteggiatura errati
• Domini di primo livello errati (ad esempio .net, .org, .com ecc.)

Esistono anche tipi diversi:

• Impersonatori - Un sito web falso che imita l'aspetto di un sito web preesistente. Le vittime sono indotte a fornire informazioni sensibili.
• Elenco di risultati di ricerca correlati - Un sito web falso che reindirizza il traffico destinato al sito web reale verso il proprio e richiede un pagamento per clic.
• Monetizzazione del traffico - Un sito web falso che inserisce annunci o pop-up per generare entrate.
• Sondaggi e omaggi - Un falso sito web che finge di raccogliere il feedback dei clienti per raccogliere dati personali.
• Installazione di malware - Un sito Web falso che installa malware sull'hardware interessato.

Cosa dice la legge?

Registrare un dominio è facile e, nella maggior parte dei casi, costa solo pochi euro. In base al principio di priorità, "chi prima arriva, meglio alloggia", non è garantito che chi richiede un dominio sia anche la persona che lo utilizza legalmente. In questi casi entrano in gioco i diritti di denominazione, il diritto dei marchi e persino il diritto della concorrenza. Il fatto che il dominio in questione sia o meno un dominio legalmente registrato deve essere valutato caso per caso.

In un caso del 2001, la BGH (Corte Suprema Federale Tedesca) ha deciso, nella cosiddetta "sentenza Shell", che il principio di priorità non è più valido se il riconoscimento del nome dell'attore è significativamente superiore a quello del convenuto. In questo caso, l'attore si è avvalso del diritto al proprio nome.

"La stessa registrazione, e non il primo utilizzo di un altro nome di società come nome di dominio in rapporti non commerciali, costituisce un uso non autorizzato di un nome ai sensi del §12 del Codice Civile tedesco". - Come affermato nella sentenza del ²⁰⁰¹¹

Mike Rowe racconta un altro caso che probabilmente vi farà sorridere. L'allora diciassettenne si assicurò il dominio MikeRoweSoft.com per il suo sito web privato. L'azienda di software di fama mondiale, Microsoft, non gradì affatto il lavoro creativo del web designer e minacciò il giovane imprenditore di intentare una causa.

"Non mi aspettavo che mi mandassero subito tutti i loro avvocati pagati profumatamente", spiega Mike Rowe.

Alla fine, tuttavia, entrambe le parti sono riuscite a raggiungere un accordo extragiudiziale. Dopo tutto questo dramma, Mike Rowe ha venduto i documenti del suo caso come "un pezzo di storia di Internet" su eBay per 1.037 dollari^.2

A causa del numero sempre crescente di occupazioni abusive e della necessità di esaminare i singoli casi, i procedimenti di questa natura possono protrarsi per anni. Le dubbie figure chiave che spesso si celano dietro l'abusivismo dei domini si nascondono anche dietro società di comodo o in paesi stranieri. Questo approccio rende praticamente impossibile una condanna.

Prevenzione e misure per evitare il typosquatting

Per proteggersi da un attacco causato da domini typosquatting, questi suggerimenti vi aiuteranno:

Individui

• Evitate di cliccare su link sospetti. Questi link possono arrivare tramite e-mail, messaggi di testo, chat o canali di social media.
• Evitate di aprire allegati di e-mail provenienti da destinatari sconosciuti.
• Installate un programma antivirus e tenetelo aggiornato.
• Controllate attentamente la corretta ortografia degli URL.
• Salvate i link più visitati nei segnalibri per evitare errori di digitazione.
• Utilizzate un software di riconoscimento vocale per gli URL più familiari.
• Utilizzate un motore di ricerca per raggiungere siti web specifici.

Aziende

• Assicuratevi il maggior numero possibile di varianti di dominio del vostro nome e collegatele al vostro sito web. Ciò può includere diverse grafie, punteggiature ed estensioni nazionali del dominio di primo livello.
• Lasciate che la Trademark Clearinghouse dell'ICANN vi aiuti a monitorare il vostro marchio e a notificarvi se il vostro nome viene utilizzato in domini altrui^.3
• I certificati SSL consentono di proteggere i dati dei visitatori durante la trasmissione, fornendo un senso di sicurezza. Chi cerca di dirottare il vostro dominio non userebbe questo metodo.
• Non appena si sospetta che qualcuno si stia spacciando per la vostra azienda, informate i clienti, i colleghi e gli altri stakeholder di possibili attacchi di social engineering attraverso e-mail di phishing o siti web di phishing.

In conclusione, il typosquatting è un problema serio. Piccoli errori di disattenzione rendono possibile l'accesso involontario a un dominio typosquatting, anche per gli utenti più esperti. Quella che sembra una svista banale può comunque causare molti danni.

_{¹ http://juris.bundesgerichtshof.de/cgi-bin/rechtsprechung/document.py?Gericht=bgh&Art=en&nr=23718&pos=0&anz=1
² https://en.wikipedia.org/wiki/Microsoft_v._MikeRoweSoft#Further_developments
³ https://www.trademark-clearinghouse.com/content/what-trademark-clearinghouse}