Buon Nat…ahi! Ci sono 4 volte più siti di vendita fasulli che reali
Credit to Author: Sophos Italia| Date: Tue, 26 Nov 2019 07:49:40 +0000
Pronto per lo shopping? Hai preparato la tua lista? Hai gli occhi ben aperti per scovare gli affari? Già ti vedo prepararti una tazza di caffè, sederti alla tastiera, digitare il nome del tuo sito per lo shopping preferito, inserire le informazioni di pagamento della tua carta, premere il pulsante “acquista” et voilà!
Sei stato truffato!
Ok, forse non incapperai nel finto sito di un rivenditore, ma, ehi, le possibilità che ciò accada sono cresciute come una foresta di vischio parassitario. In base a una ricerca di Venafi, il numero totale di certificati TLS (Transport Layer Security) usati dai domini di typosquatting per dare l’impressione di essere sicuri è del 400% più alto del numero di domini di vendita autentici.
Ecco i numeri: Venafi ha trovato 109.045 certificati TLS su domini simili agli originali, rispetto a 19.890 su siti di vendita autentici. Oltre la metà dei certificati usati sui domini impostori erano certificati di Let’s Encrypt, un’autorità di certificazione automatica che emette certificati gratuiti… compresi, per dire, i 15.270 certificati di “PayPal” emessi nel 2017 a siti usati per il phishing.
I numeri sono abbastanza sorprendenti: significa che attualmente ci sono 4 volte più siti falsi che siti di vendita legittimi. Il numero è più che raddoppiato dal 2018.
Fai attenzione a quello che digiti
Ciò rende gli errori di battitura più pericolosi che mai. Sai come funziona: digiti velocemente un URL che usi sempre, ma questa volta sbagli e per errore inverti, aggiungi o cancelli una singola lettera e premi invio. E all’improvviso non sei più in Kansas, Toto. Sei fortunato se ottieni un messaggio di errore 404. Ma c’è anche il rischio elevato di finire sul sito alla Nigthmare Before Christmas di un phisher, simile all’originale ma con l’unico scopo di rubarti i dati della carta di credito.
Venafi ha scoperto che ci sono oltre 49.500 domini di typosquatting che puntano ai clienti dei più importanti rivenditori statunitensi. Per quanto riguarda il Regno Unito, ci sono oltre 6 volte più domini impostori che domini validi tra i 20 più importanti rivenditori online.
A ogni modo, non tutti questi siti sono necessariamente controllati dai phisher. In passato abbiamo analizzato i domini di typosquatting e abbiamo scoperto che, a dispetto di quello che ci si potrebbe aspettare da siti che registrano di proposito errori di ortografia di URL comuni, non erano pieni di malware.
Infatti, solo il 3% dei siti era attribuibile a criminali informatici. I pop-up e la pubblicità erano molto più comuni (il 15%), mentre il 12% erano pagine di società IT o di hosting che proponevano la vendita di nomi di dominio interessanti.
Tuttavia, Venafi ha dichiarato di aver rilevato una “crescita incontrollata” del numero di domini dannosi simili agli originali usati nello specifico per attacchi di phishing.
Jing Xie, ricercatore senior in ambito di intelligence sulle minacce informatiche, ha dichiarato in un comunicato stampa che la crescita dei certificati TLS nei siti di typosquatting è il risultato della spinta al maggior, e potenzialmente totale, criptaggio del traffico web, che lui ha definito:
una tendenza che generalmente migliora la sicurezza per gli utenti, ma inavvertitamente introduce una nuova sfida ai metodi di individuazione del phishing esistenti.
È già abbastanza difficile individuare i siti di vendita falsi dall’aspetto, dato che imitano con attenzione loghi, schemi di colori, altre caratteristiche del branding e il funzionamento dei siti reali. Ciò che rende questo compito ancora più difficile è che questi siti si nascondono sotto le mentite spoglie dei certificati TLS.
Il lucchetto non è garanzia di sito sicuro
Come spiegato in precedenza, i certificati TLS sono usati dai siti web che comunicano tramite connessioni criptate HTTPS. Sono usati per firmare la chiave di crittografia pubblica di un sito web, che garantisce che la comunicazione con quel sito web è privata e sicura: sai con quale sito stai comunicando e che nessun altro sta ascoltando.
Ma non puoi sempre fidarti di un sito solo perché ha un certificato: la proliferazione di siti di vendita simili agli originali che sfruttano il typosquatting è solo l’ultimo esempio del perché.
A giugno, l’FBI ha avvertito in un comunicato che troppi utenti vedono il simbolo del lucchetto e la “S” alla fine di HTTP come una garanzia tacita dell’affidabilità di un sito.
Data la facilità con cui si può ottenere un certificato TLS valido in modo gratuito, oltre alla possibilità che il sito legittimo sia vittima di hijack, questa supposizione è diventata sempre più pericolosa.
Sfortunatamente, i criminali informatici hanno notato la confusione sull’HTTPS e ciò ha portato a un numero sempre maggiore di attacchi di phishing che la sfruttano per cogliere di sorpresa gli utenti. Dal comunicato dell’FBI:
Gli [autori di attacchi di phishing] incorporano sempre più spesso certificati del sito web (verifiche di terze parti che certificano la sicurezza di un sito) quando inviano alle potenziali vittime e-mail che imitano società affidabili o contatti e-mail.
Cosa fare?
Ovviamente, fare attenzione quando digiti è importante, ma se hai le dita di pastafrolla non ti devi scoraggiare:
Anche se non digiti sempre correttamente, puoi provare a usare uno strumento per la gestione delle password. Si tratta di un buon mezzo di difesa perché non viene ingannato dagli URL che sembrano corretti agli occhi inclini agli errori degli umani, ma individua le modifiche agli URL introdotte dai typosquatter che spesso sono troppo sottili perché ce ne possiamo accorgere.
Se individui una tentativo di phishing, fa’ la tua parte per aiutare gli altri. Puoi segnalare le potenziali minacce informatiche a Sophos tramite la nostra pagina di invio di file campione.