La parola chiave più comunemente usata nel combosquatting è "supporto"
Analisi riassuntiva
Il cybersquatting (ovvero il domain squatting finalizzato all'URL hijacking) viene spesso impiegato nelle campagne di phishing, nel furto di identità e nei tentativi di installazione di malware.
Il combosquatting supera il typosquatting in termini di numeri di domini attivi e percentuali di clic, ed è oggi la principale minaccia nell'ambito del cybersquatting.
Abbiamo analizzato il traffico DNS globale e gli elenchi interni dei domini dannosi per identificare le 50 parole chiave più utilizzate.
Quindi, abbiamo compilato l'elenco delle 50 parole chiave più diffuse nel combosquatting.
Introduzione
Ogni giorno utenti malintenzionati imitano i siti web dei grandi brand. Un'operazione che nella realtà non sarebbe possibile; come potrebbero impossessarsi della sede fisica di un'azienda? Ma online, queste persone possono creare siti verosimili e perfettamente realizzati, che imitano il nome del dominio target.
Spesso questi siti web usano infatti nomi di dominio che ricordano quelli del brand originale. Questi domini sono oggetto di attacchi di cybersquatting.
La nostra analisi dei domini dannosi dimostra che il combosquatting è oggi la principale minaccia di cybersquatting. In questo post, spiegheremo come rilevare il combosquatting nel traffico DNS e indicheremo le parole chiave che i malintenzionati usano con maggiore frequenza per truffare individui e organizzazioni in questi attacchi.
Che cos'è il cybersquatting?
I domini usati nel cybersquatting sono nomi di dominio registrati e usati da malintenzionati per approfittare della reputazione di un brand o di un nome di cui non sono proprietari. Il cybersquatting viene spesso usato come strumento in campagne che mirano a installare ransomware (ad es. tramite malvertising), in episodi di phishing o per rubare l'identità di qualcuno.
Varianti del cybersquatting
Esistono più tipi di cybersquatting in rete. Nella tabella 1 sono mostrate le varie differenze. Abbiamo usato il brand fittizio safebank[.]com.
Variante |
Descrizione |
Esempio safebank[.]com |
|---|---|---|
Combosquatting |
Viene aggiunta una parola chiave al dominio del brand |
safebank sicurezza[.]com |
Typosquatting |
Aggiunta, rimozione o sostituzione di un carattere |
safebqnk[.]com |
Bitsquatting |
Modifica di bit ASCII casuale |
sagebank[.]com |
Attacco omografico IDN |
Uso di caratteri di aspetto simile |
sǎfebank[.]com |
TLD squatting |
Sostituzione del dominio di primo livello (TLD) |
safebank[.]co |
Soundsquatting |
Uso di omofoni |
savebank[.]com |
Dotsquatting |
Inserimento di uno o più punti |
sa.febank[.]com |
Tabella 1: le varianti del cybersquatting
Una nota sul dotsquatting. Nella nostra ricerca sulla letteratura esistente non ne abbiamo trovato menzione. Tuttavia, l'alta frequenza di questi casi ci ha convinto a identificarli come una categoria a sé. Dotsquatting è il termine interno con cui abbiamo definito questo tipo di fenomeno.
Come interagiscono le varianti
I diversi tipi di squatting spesso si sovrappongono, soprattutto nei casi di bitsquatting e typosquatting. L'esempio usato come bitsquatting qui sopra lo conferma. Nella tastiera QWERTY la "g" è accanto alla "f", per cui potremmo considerarlo anche un caso di typosquatting.
Inoltre, le categorie non si escludono a vicenda. Più tipi di squatting possono fondersi in un unico nome di dominio, come nel caso di safebank-security[.]coche possiamo considerare un mix di combosquatting e TLD squatting.
Infine, si noti che la Tabella 1 non contiene tutti i tipi di cybersquatting. Ed è probabile che, con il procedere dell'evoluzione di questi vettori di attacco, in futuro compaiano nuove varianti.
Monetizzazione del cybersquatting
I danni finanziari e gli impatti del cybersquatting esistono da anni e questa piaga continua a restare una minaccia enorme per organizzazioni e individui
Il termine viene usato anche in contesti più generici. Metodi tipici di questa area sono domain name warehousing (il fare incetta dei nomi di dominio) e domain name frontrunning (l'acquisto anticipato dei nomi di dominio). Ad esempio, qualcuno potrebbe acquistare il dominio coke[.]net (squat TLD) e provare a venderlo alla Coca-Cola per ricavarne profitto. Un altro tipo di monetizzazione è il marketing di affiliazione tramite il furto di hit. Ad esempio, è possibile registrare il dominio payypal[.]com e indirizzare i visitatori al sito reale tramite un codice di invio. I tentativi sono numerosi e hanno avuto molto spesso una buona riuscita. Per correre ai ripari, sono state approvate diverse leggi e normative, tra cui l'Anti-Cybersquatting Consumer Protection Act (ACPA) statunitense.
Esempi di cybersquatting riusciti
Nel 2023, Reddit è stata vittima di una campagna di phishing mirata. L'attacco prevedeva l'uso di un sito web capace di clonare il comportamento del gateway intranet, ospitato su un dominio oggetto del cybersquatting, citato implicitamente nella risposta agli incidenti di sicurezza di Reddit. I malintenzionati sono riusciti ad accedere a informazioni sensibili di dipendenti e inserzionisti.
Nel 2011 anche Facebook è stata una vittima, con oltre 100 nomi di domini analoghi falsificati tramite un errore di ortografia. Il danno è stato poi ripagato all'azienda con un risarcimento di $2,8 milioni.
Anche gli utenti possono essere presi di mira. Nell'ottobre 2022, Bleepingcomputer ha segnalato un'estesa campagna di typosquatting che puntava a obbligare le persone a installare app infette da malware. Le vittime sono state infette da keylogger e malware che hanno sottratto le credenziali da conti bancari e portafogli digitali.
La popolarità del combosquatting
Nella nostra analisi del 2022, il combosquatting risulta il tipo di cybersquatting più diffuso in termini di nomi di dominio univoci. In altre parole, i criminali usano nei loro attacchi il combosquatting più di altri tipi di cybersquatting.
Il combosquatting è anche risultato capace di generare il maggior numero di query DNS, dove a ogni query corrisponde una potenziale vittima che visita il dominio dannoso.
Secondo le nostre analisi, questi due dati rendono il combosquatting la minaccia di cybersquatting principale.
Il typosquatting ruba la scena
Le scoperte del nostro team sono in linea con quelle di uno studio su larga scala del 2017, incentrato sul combosquatting. "I domini combosquatting sono 100 volte più diffusi dei domini typosquatting."
Ciononostante, ci sembra che la variante che riceve maggiore attenzione nelle ricerche, nei blog e nelle riviste sia il typosquatting. La nostra ricerca non è riuscita a identificare dei dati concreti che giustifichino tanta attenzione. Ciò che abbiamo visto, ci fa al contrario ritenere che i malintenzionati siano oltremodo felici che il faro resti puntato sul typosquatting, così che il combosquatting possa continuare a operare inosservato.
Le parole chiave nel combosquatting
Ricordate: Il combosquatting è la variante del cybersquatting che prevede l'aggiunta di una parola chiave al dominio del brand. Ecco alcuni esempi, in inglese, che riguardano l'uso del dominio safebank[.]com:
safebank-members[.]com
mysafebank[.]com
login-safebank[.]com
Ma come si definisce la parola chiave? Guardando gli esempi sopra, vediamo parole chiave come "members," "my," e "login" aggiunte al brand "safebank" da un trattino (login-safebank) oppure concatenate (mysafebank ) all'inizio o alla fine.
Queste parole chiave hanno lo scopo di fare leva su sensazioni precise, come mostra la Tabella 2
Parole chiave |
Sensazioni |
|---|---|
Verifica, account, login |
Sicurezza, autorità |
Ora, avviso |
Urgenza |
Gratuito, promo |
Paura di perdersi qualcosa |
Tabella 2: Esempi di parole chiave e sensazioni che evocano
I nomi dei brand non significano da soli legittimità
Il nome del brand (safebank) rende il link legittimo. Il fatto che un link contenga un nome del brand non lo rende però sicuro. Nulla impedisce a chiunque di registrare un nome di dominio che contiene il nome di un brand protetto dal marchio. Chiaramente, l'obiettivo di chi esegue un attacco è attivare una risposta emotiva immediata nell'utente e non una razionale. Unire il brand a una parola chiave è un modo logico per ottenerlo.
Come possiamo usare questa informazione per proteggere gli utenti?
Come team di ricerca sulla cybersicurezza abbiamo un'arma molto potente: i dati. Abbiamo accesso a un vasto elenco di domini segnalati come dannosi. È un elenco che condividiamo con i clienti, aiutandoli a proteggere gli utenti finali quando navigano sull'Internet. Inoltre, possiamo usare i dati del traffico DNS per vedere le tendenze delle parole chiave nei nuovi domini sotto osservazione, che sono sia benigni sia dannosi
Rilevamento di parole chiave basato sui dati
È importante notare che i dataset usati per questa analisi contengono solo domini di phishing dannosi. In questo modo ci siamo concentrati esclusivamente sulle parole chiave che i criminali usano oggi in modo attivo. Ogni input è stato segnalato come phishing grazie a molteplici processi interni, per garantire l'accuratezza. In questa sezione, vi spiegheremo a grandi linee come abbiamo raccolto l'elenco delle parole chiave più comuni.
Inizio dell'analisi
Come abbiamo visto le parole chiave vengono aggiunte a un brand mediante un trattino oppure sono direttamente concatenate al nome.
Nel primo caso, è facile individuare le parole in questione, basta dividere il nome in base al trattino, che è un delimitatore naturale. Ad esempio: Prendiamo per esempio il dominio amazon-e[.]com. Il trattino è un suggerimento evidente che divide il nome del brand amazon dalla parola chiave e. Semplice.
Con le parole concatenate la sfida è più complessa. Serve una serie di conoscenze specifiche come la lingua, i brand localizzati e il comportamento della navigazione su internet. Le sovrapposizioni tra parole chiave sono un caso comune.
Esaminiamo l'esempio amazone[.]com. Non sappiamo se il brand è Ama (produttore di scarpe in pelle italiano) Amaz (stilista per abiti femminili greco) o Amazon (azienda americana) Questo dominio ci offre una vasta gamma di opzioni per la parola chiave. zone, one, e, tutte valide.
Filtraggio dei domini
In questa fase ci semplifichiamo il compito. Restringiamo l'analisi al primo tipo di parole chiave facili da estrarre: i nomi dei domini che contengono trattini. La distribuzione di questo sottoinsieme deve seguire la distribuzione sull'intero set di dati, dato l'elevato volume coinvolto
In breve, il processo iniziale ha incluso quattro passaggi principali:
Siamo partiti dai nomi di dominio dell'elenco di phishing
Abbiamo filtrato il TLD
Abbiamo filtrato l'elenco residuo cercando i nomi di brand comuni
Li abbiamo separati in base al trattino
Completate le quattro fasi, abbiamo raccolto le parole risultanti in un grande elenco. Abbiamo quindi tolto i nomi dei brand per lasciare solo le parole chiave. Abbiamo infine fatto un conteggio delle parole chiave.
Le 50 parole chiave di combosquatting più diffuse
Questa procedura ci ha portato alle parole chiave di combosquatting più diffuse che puntano ai brand più popolari. Sappiamo che è così perché siamo partiti dai domini di phishing confermati in passato.
Nella tabella 3 vengono elencate le prime 10 parole chiave di combosquatting estratte dal processo, in ordine di popolarità. L'elenco completo delle 50 parole chiave è reperibile sul nostro archivio GitHub
Posizione |
Parola chiave |
|---|---|
1 |
supporto |
2 |
com |
3 |
login |
4 |
aiuto |
5 |
sicuro |
6 |
www |
7 |
account |
8 |
app |
9 |
verifica |
10 |
servizio |
Tabella 3: Le prime 10 parole chiave di combosquatting in ordine di popolarità
Ecco una panoramica chiara delle parole chiave usate per truffare le vittime. Come si può vedere, la parola chiave di combosquatting più comune èsupporto. Questo perché le pagine di supporto legittime sono spesso portali interni a un sito, per cui si crea un URL simile a support[.]company-name[.]com
Sorprese
Una delle sorprese rilevate è "com". Una parola chiave che non ci aspettavamo di trovare in una posizione così alta e che non avremmo scovato senza l'approccio determinato dall'uso di dati del nostro vasto dataset. Alcuni esempi includono accountpaypal-com[.]info e com-apple[.]co.
Un'altra sorpresa è "jp", TLD di Giappone. Alcuni esempi includono apple1-jp[.]com e jp-rakuten[.]com. Altre parole dell'elenco sono codici TLD "US", "UK," e "FR." Potrebbero stare a indicare i paesi più presi di mira
Conclusione
Le applicazioni potenziali del cybersquatting sono innumerevoli e le vittime variano da singoli clienti a grosse aziende. Ciò rende difficile quantificare il danno totale causato dal cybersquatting. Inoltre, riteniamo le campagne di cybersquatting siano segnalate in modo poco adeguato; molti casi ottengono la visibilità solo quando viene influenzata una grossa azienda.
Questi incidenti su larga scala, ma anche quelli su scala ridotta, sono a fini di lucro ed è importante eseguire analisi come questa per comprendere meglio il comportamento degli attacchi.
Continueremo a monitorare queste minacce per analizzare e condividere i risultati con la comunità. Per rimanere aggiornati sulle ricerche sulla sicurezza, seguiteci su Twitter.
