I domini truffa: i caratteri ingannevoli e il rischio Phishing

Dal 23 gennaio 2018 il mio blog non ha più banner pubblicitari e viene sostenuto dalle vostre donazioni che potete inviare qui: https://www.paypal.me/DavidPuenteit

Oggi mi trovo a Berlino per partecipare all’evento “Domaining Europe“, una due giorni dedicata al mondo e al mercato dei domini. Un mondo affascinante, ma così come ci sono “cose belle” ci sono anche “cose brutte“. In certi casi troviamo domini ingannevoli, come quelli relativi false testate online come “IlGiomale.it” (per fare un esempio conosciuto) che giocava sull’errore di lettura degli utenti che lo confondevano con “IlGiornale.it” (il gioco risultava presente nell’uso della “m” al posto delle lettere “rn“). Esistono molti domini chiamati “typo” come “examlpe.com“, ossia quei domini che riportano errori di battitura in cui possono cadere gli utenti per colpa della fretta o delle loro “dita troppo grosse” mentre digitano nella tastiera dello smartphone.

Quello dei domini è un mercato molto redditizio che molti ne ignorano l’esistenza. In Italia esistono siti come Nidoma.com dove è possibile registrare un dominio, o prenotarne uno in scadenza per poi metterlo in vendita. Per farci un’idea dei soldi che ruotano intorno a questo mondo sconosciuto ai più, il dominio SOS.it è stato recentemente acquistato per 20 mila euro:

Oltre 20 mila euro per il dominio SOS.it

Molti domini possono garantire un guadagno attraverso il “domain parking“, un servizio disponibili presso piattaforme come Parkingcrew.com, Sedo.com e altri ancora.

Il Domain Parking di Sedo

Spesso capita che certi domini vengano registrati per evitare attività di cybersquatting, dove si sfrutta il nome di un personaggio o di un marchio noto per rivenderli (anche a prezzi molto alti) o per avviare operazioni truffaldine come quella nota al marchio Ray-Ban (basta pensare al dominio Rayban-italia.com dove l’ignaro utente crede di poter acquistare prodotti originali a prezzi scontatissimi). Stesso discorso per il typosquatting che, nonostante i “suggerimenti” forniti da browser come Google Chrome, non deve essere assolutamente sottovalutato.

Non solo domini dal nome ingannevole attraverso giochi di parole o errori di battitura, bisogna considerare anche i caratteri “speciali” appartenenti a diverse lingue del mondo. Cosa avviene nel caso dello spagnolo quando vogliamo registrare un dominio come “Mañana.com“? Entrano in gioco i caratteri ASCII, dove la lettera “ñ” viene interpretata con i caratteri “xn--ida“. Potete provare voi stessi utilizzando il tool online del sito Mothereff.in che permette la codifica Punycode.

Il tool per la codifica Punycode

Bisogna fare comunque attenzione a coloro che, invece, vogliono trarre profitto ai danni dell’utente attraverso attività fraudolente come il “phishing“. Possiamo fare un esempio sicuro citando il dominio “аррӏе.com” (non truffaldino, ma creato apposta per spiegare il problema) di cui vi riporto uno screenshot:

Il falso sito “Apple.com”

Notate qualcosa di strano? Come mai non vediamo alcun riferimento ai prodotti Apple come quello ufficiale riportato qui sotto?

Il vero sito Apple.com

Perché in realtà avete visitato il dominio xn--80ak6aa92e.com generato dalla codifica Punycode dei caratteri cirillici “аррӏе.com“.

La codifica dei caratteri cirillici “аррӏе.com”

La pagina del “dominio fake” contiene un messaggio in inglese che invita l’utente a fare attenzione e ad approfondire cliccando sull’unico link presente che rimanda al blog di Xudong Zheng e all’articolo dal titolo “Phishing with Unicode Domains“. Per i pigri in lingua inglese, Andrea Zapparoli Manzoni ha riportato le spiegazioni in un suo articolo dal titolo “Attacco Phishing utilizza caratteri Unicode nei domini, rendendoli quasi impossibili da identificare” che conclude con la seguente riflessione:

Cosa ci insegna questo ennesimo esempio di abuso di una delle features sulle quali si basa il buon funzionamento di Internet?

Per una serie di ragioni storiche abbiamo costruito una intera civiltà digitale su fondamenta che non sono adeguate agli scopi ed all’importanza che essa ha assunto nel tempo, perchè sono state pensate ed implementate in tempi completamente diversi, nei quali le minacce erano diversi ordini di grandezza inferiori rispetto ad oggi.

Dobbiamo urgentemente rimettere mano a tutto quanto fatto negli ultimi 30 anni, ripensarlo a fondo e in molti casi rifarlo da capo, ed allo stesso tempo introdurre regole molto più stringenti (per esempio sulla registrazione dei domini).

Risulta estremamente importante tutelare il proprio brand online di fronte a questo tipo di domini, considerando le innumerevoli combinazioni possibili, registrando quelli attualmente liberi, acquistando quelli già esistenti (affidandosi ad un servizio di broker professionale, costa certamente meno che avviare un procedimento legale) e colpendo duramente quelli usati con fini fraudolenti.

David Puente

Nato a Merida (Venezuela), vive in Italia dall'età di 7 anni. Laureato presso l'Università degli Studi di Udine, opera nel campo della comunicazione e della programmazione web.
REGOLAMENTO DELLA DISCUSSIONE
Non sono consentiti:
- messaggi off-topic (tradotto: non inerenti al tema trattato)
- messaggi anonimi (registratevi almeno a Disqus)
- messaggi pubblicitari o riportanti link truffaldini (verranno sempre moderati i commenti contenenti link esterni)
- messaggi offensivi o contenenti turpiloquio
- messaggi razzisti o sessisti
- messaggi il cui contenuto costituisce una violazione delle leggi italiane (istigazione a delinquere o alla violenza, diffamazione, ecc.)
Se vuoi discutere in maniera costruttiva ed educata sei il benvenuto, mentre maleducati, fanatici ed esaltati sono cortesemente invitati a commentare altrove.
Comunque il proprietario di questo blog potrà in qualsiasi momento, a suo insindacabile giudizio, cancellare i messaggi che violeranno queste semplici regole. I maleducati (soprattutto se anonimi) verranno bloccati. In ogni caso il proprietario del blog non potrà essere ritenuto responsabile per eventuali messaggi lesivi di diritti di terzi.

Regolamento in vigore dal 5 settembre 2016 - Aggiornato 26 agosto 2017.