I domini omografi continuano a mietere vittime, anche su HTTPS

Gli attacchi omografi tornano di gran voga, dopo 15 anni dal loro picco iniziale. È quanto affermano i ricercatori di Soluble e Verisign nell’analizzare un tipo di minaccia informatica un tempo molto popolare e oggi di nuovo in rapida ascesa. Si tratta, in via del tutto semplificativa, di quei siti malevoli che sfruttano nomi molto simili a portali ufficiali, ovviamente per trarre in inganno l’utente.

Così come già annunciato, gli attacchi omografi sono stati molto popolari nella prima metà degli anni 2000. Malintenzionati erano soliti realizzare dei siti fasulli in tutto e per tutto identici agli originali, allo scopo di trarre in inganno gli utenti. Il tutto semplicemente utilizzando dei nomi di dominio sovrapponibili a quelli originali, magari differenziati da piccoli errori di battitura di cui l’utente non riesce immediatamente a rendersi conto.

E così, in piena buona fede, l’utilizzatore inserisce i propri dati d’accesso, tenta dei login, fornisce dati di carte di credito: tutti elementi che vengono poi impiegati da terzi in modo improprio.

Le tecniche, poi mutuate e rafforzate dal phishing, sono anche molto raffinate. Oltre al banale typosquatting – ovvero il ricorso a nomi di dominio simili, ma contenenti errori, come potrebbe esserlo youtube.com/yutube.com – esistono sistemi praticamente irriconoscibili per l’utente.

Ad esempio si possono usare lettere di lingue straniere – come il cirillico – che esteticamente assomigliano alla grafia latina. Ancora, si gioca con la similitudine tra il numero “1” e la “l” minuscola, quasi irriconoscibili per alcune tipologie di font. Gli esempi sono davvero infiniti.

Matt Hamilton, ricercatore di Soluble, ha sottolineato come questa tipologia di attacchi sia ancora molto diffusa:

Tra il 2017 e oggi, più di una dozzina di domini omografi aveva certificati HTTPS attivi. Questi includevano siti di finanza, commercio elettronico e tecnologia delle principali aziende della Fortune 100. Non vi è legittima o non fraudolenta giustificazione per questa attività

Dello stesso parere anche Verisign, in una nota pubblicata a margine della ricerca:

Proteggere la stabilità, la sicurezza e la resilienza dell’infrastruttura critica in cui operiamo è la nostra principale priorità. Sebbene il problema descritto da Hamilton sia ben compreso dalla comunità Internet globale – ed è soggetta ad attive policy sviluppate dall’ICANN – apprezziamo il suo sforzo nel fornire dettagli aggiuntivi e puntuali su come questo problema possa essere sfruttato.

Oggi i link omografi vengono distribuiti soprattutto con il phishing, ma anche con campagne mirate di sponsorizzazione sui social network.