lunedì 3 settembre 2007

Quando il virus arriva dal typosquatting

I modi per beccarsi un virus informatico, si sa, sono molti: può succedere tramite e-mail, siti truffaldini, programmi scaricati incautamente dai circuiti p2p, ecc...

Un'altra tecnica utile (agli aggressori informatici) allo scopo è il cosiddetto typosquatting, un metodo di infezione che all'estero è in voga da tempo e del quale ci sono già le prime avvisaglie anche da noi (PI ha pubblicato un articolo in proposito agli inizi di giugno). Di cosa si tratta?

Guardate l'immagine qui sotto:




E adesso date un'occhiata, sempre nella stessa immagine, a cosa c'è scritto nella barra degli indirizzi di Firefox: http://www.goigle.it anziché http://www.google.it.

L'immagine (nel sito) è linkabile. Osservate cosa succede se ci faccio clic col mouse per entrare:




Si apre una finestra che chiede se si desidera salvare sul pc il file ServiziParticolari.exe (un nome che è tutto un programma). Lo salvo sul desktop:




Ecco qua, si tratta di un eseguibile Windows di appena 31 KByte. A questo punto apro il fido Kapersky e lo analizzo. Risultato:



Come potete vedere, se apriamo il file scaricato, l'unico "servizio particolare" che ci ritroviamo sul pc è il Trojan-Clicker.Win32.Agent.ip.

Questa è la tecnica del typosquatting. In pratica si tratta di un sistema attraverso il quale vengono registrati da una o più persone una serie di domini molto simili (praticamente quasi identici) a quelli di altre società più note (in questo caso Google) con lo scopo di intercettarne una parte del traffico. La maggior parte di questi domini reindirizzano poi quasi sempre allo stesso sito trappola che naturalmente coll'originale non ha niente a che vedere.

Se facciamo ad esempio una breve ricerca whois, vediamo che il dominio goigle.it risulta intestato a tale Bojarovs Aleksejs, titolare di una certa Prolat, società al centro già da tempo di vari contenziosi legali con molte società di credito per la storia appunto delle varianti di nome a dominio.

In questo caso ho fatto l'esempio di Google (www.google.it che è diventato www.goigle.it), ma simili a questo ce n'è addirittura a centinaia. Possiamo trovare ad esempio www.coorriere.it, www.aklitalia.it, www.sebay.it, ecc... Un elenco esauriente della maggior parte di questi lo trovate qui.
Ovviamente da questi siti bisogna stare alla larga, specialmente se si usa Windows.

I metodi di difesa da questa tecnica truffaldina, oltre a quelli già noti (antivirus), consistono principalmente nel fare attenzione a ciò che si digita nella barra dell'url del browser, e, se possibile, cercare di utilizzare i preferiti o i segnalibri. Questo è infatti uno di quei casi in cui digitare a mano un indirizzo errato può costare piuttosto caro.

Nessun commento:

Posta un commento

Il post sentenza

La sbornia post sentenza OpenArms ha dato la stura a dichiarazioni giubilanti che a tratti sembrano leggermente fuori dalla realtà. Cominci...