Cos'è il Typosquatting? Metodi di Attacco ai Domini e Prevenzione

Che cos'è il Typosquatting?

Digiti "gogle.com" invece di "google.com" e premi Invio. In pochi millisecondi, ti ritrovi davanti a una pagina di raccolta credenziali che sfrutta una semplice omissione di carattere. Quel singolo errore di battitura ha appena consegnato agli attaccanti l’accesso alle tue credenziali aziendali.

Il typosquatting è un attacco basato su dominio in cui gli attori delle minacce registrano nomi di dominio che assomigliano molto a siti web legittimi sfruttando errori di digitazione comuni. Secondo l’Internet Crime Report 2023 dell’FBI, phishing e attacchi di spoofing (il principale caso d’uso dei domini typosquattati) hanno generato 298.878 segnalazioni solo nel 2023.

Le linee guida ufficiali di CISA definiscono il typosquatting come un attacco di social engineering basato su dominio in cui gli attori delle minacce "configurano domini falsificati con caratteristiche leggermente alterate rispetto ai domini legittimi" tramite variazioni di caratteri progettate per ingannare gli utenti. Gli attaccanti sfruttano errori di digitazione comuni registrando domini come "gogle.com" (omissione di carattere), "googel.com" (trasposizione di caratteri) o "googlr.com" (errore di tasto adiacente) per creare infrastrutture di phishing convincenti.

L’attacco ha successo perché la percezione umana differisce dalla precisione delle macchine. I tuoi occhi vedono "paypal.com" sullo schermo, ma il browser risolve "pаypal.com" con un carattere 'а' cirillico (U+0430) che appare identico alla 'a' latina (U+0061). Il dominio appartiene agli attaccanti, non a PayPal.

Il typosquatting non richiede alcuna narrazione di social engineering. Gli attaccanti attendono semplicemente errori di digitazione che si verificano con frequenza prevedibile. Quando operi su scala aziendale con migliaia di dipendenti che accedono quotidianamente a centinaia di piattaforme SaaS, quegli errori diventano opportunità di attacco misurate in volume, non in probabilità.

Comprendere la portata di questa minaccia solleva una domanda immediata: perché i controlli di sicurezza esistenti non fermano questi attacchi?

Perché la sicurezza tradizionale fallisce contro il Typosquatting

Il typosquatting funge da punto di ingresso per catene di attacco multi-fase che aggirano completamente le difese perimetrali. Secondo l' avviso CISA AA23-025A, "il dominio malevolo di prima fase collegato nell’email di phishing iniziale reindirizza periodicamente ad altri siti per ulteriori redirect e download di software RMM." La tua sicurezza endpoint non vede mai la compromissione iniziale perché hai navigato volontariamente verso il dominio malevolo.

Il filtraggio URL tradizionale fallisce perché i domini typosquattati non hanno alcuna storia di reputazione malevola. I log DNS mostrano query legittime avviate dall’utente invece di pattern di command-and-control. I certificati SSL superano i controlli di validazione, mostrando icone di lucchetto affidabili. Il tuo stack di sicurezza vede comportamenti autorizzati dell’utente, non attività malevole, fino all’esecuzione del payload.

L’impatto sulla cybersecurity va oltre il furto di credenziali individuali. La ricerca della Carnegie Mellon University ha documentato che i domini typosquattati ricevono annualmente volumi significativi di email indirizzate erroneamente tramite infrastrutture di mail server centralizzate. Quando i tuoi utenti inviano accidentalmente comunicazioni aziendali a versioni typosquattate del tuo stesso dominio, gli attaccanti intercettano informazioni di business, dati finanziari e comunicazioni strategiche senza generare alcun alert di sicurezza.

Per difendersi da questi attacchi, è necessario prima comprendere le tecniche specifiche che gli attaccanti utilizzano per creare domini ingannevoli.

Tipologie di attacchi Typosquatting

Gli attaccanti impiegano tecniche distinte per generare varianti di dominio convincenti. La ricerca conferma che circa il 99% dei domini typosquattati utilizza modifiche a un solo carattere, rendendo questi pattern prevedibili ma efficaci.

1. Omissione di carattere rimuove una lettera: "gogle.com" invece di "google.com". Questo sfrutta la digitazione veloce in cui le dita saltano i tasti.
2. Duplicazione di carattere aggiunge lettere extra: "googgle.com" mira agli errori di doppio tocco su caratteri ripetuti.
3. Trasposizione di caratteri scambia lettere adiacenti: "googel.com" sfrutta la tendenza naturale a invertire l’ordine delle lettere digitando rapidamente.
4. Sostituzione con tasto adiacente sostituisce caratteri con i vicini di tastiera: "googlr.com" (r adiacente a e) mira a errori fisici di digitazione.
5. Attacchi omografi sostituiscono caratteri Unicode visivamente identici. Secondo la ricerca ICANN, i ricercatori hanno documentato 11.766 omografi IDN unici in 20 mesi. La 'а' cirillica (U+0430) appare identica alla 'a' latina (U+0061), rendendo "pаypal.com" visivamente indistinguibile dal dominio legittimo.
6. Domini doppelganger omettono i punti nei sottodomini: "wwwgoogle.com" o "aborofamerica.com" (manca il punto dopo "boa") catturano traffico da utenti che dimenticano il punto tra sottodominio e dominio.
7. Combosquatting aggiunge parole che suonano legittime: "google-login.com" o "secure-paypal.com" appare come un sottodominio ufficiale pur appartenendo agli attaccanti.
8. Sostituzione con TLD errato sfrutta la confusione sulle estensioni di dominio: gli attaccanti registrano company.co, company.net e company.org quando possiedi solo company.com.
9. Variazioni di trattino aggiungono o rimuovono trattini: "face-book.com" rispetto a "facebook.com" mira all’incertezza sul posizionamento dei trattini nei nomi dei brand.
10. Bitsquatting sfrutta errori hardware di memoria che in modo casuale modificano singoli bit nei nomi di dominio in cache, reindirizzando il traffico verso domini con un solo bit diverso dai target legittimi.

Ognuna di queste tecniche ha lo stesso scopo: portare le vittime a una destinazione malevola. Ma registrare un dominio ingannevole è solo il primo passo. Ecco come gli attaccanti trasformano questi domini in minacce operative.

Come funziona il Typosquatting?

Gli attacchi di typosquatting seguono un ciclo operativo in quattro fasi che trasforma i domini registrati in minacce attive contro la tua organizzazione.

1. Fase 1: Identificazione e registrazione del dominio. Gli attaccanti utilizzano algoritmi per generare varianti di typo di domini di alto valore. Identificano brand con elevato volume di traffico, credenziali di valore o capacità di transazione finanziaria, quindi registrano centinaia di varianti su più TLD.
2. Fase 2: Configurazione dell’infrastruttura stabilisce l’infrastruttura malevola. Gli attaccanti configurano record DNS che puntano i domini typosquattati a web server che ospitano pagine di login clonate, piattaforme di distribuzione malware o catene di redirect. Ottengono certificati SSL validi e configurano mail server per intercettare email indirizzate erroneamente.
3. Fase 3: Cattura del traffico avviene tramite più canali. Errori di navigazione diretta si verificano quando digiti manualmente URL con piccoli errori di carattere. Campagne email da account compromessi contengono link typosquattati che appaiono legittimi nel contesto del messaggio. L' FBI ha avvertito che "gli attori delle minacce creano siti web falsificati spesso alterando leggermente le caratteristiche dei domini di siti web legittimi, con lo scopo di raccogliere informazioni sensibili dalle vittime."
4. Fase 4: Monetizzazione impiega strategie multiple a seconda degli obiettivi dell’attaccante:

• Raccolta credenziali mirata a piattaforme SaaS dove le credenziali rubate consentono l’accesso a dati aziendali
• Distribuzione malware tramite ransomware e infostealer attraverso download drive-by
• Intercettazione email di comunicazioni indirizzate erroneamente contenenti informazioni aziendali sensibili
• Ad fraud genera ricavi tramite redirect forzati verso network pubblicitari
• Impersonificazione del brand a supporto di schemi di business email compromise

La ricerca della Carnegie Mellon University ha documentato che i domini typosquattati ricevono circa 800.000 email all’anno tramite infrastrutture centralizzate.

Questo modello operativo non è teorico. Incidenti di alto profilo dimostrano esattamente come questi attacchi impattano le organizzazioni nella pratica.

Attacchi Typosquatting nel mondo reale

Incidenti documentati rivelano come il typosquatting colpisca le organizzazioni indipendentemente da dimensione, settore o maturità della sicurezza. Questi casi dimostrano sia il danno diretto degli attacchi sia i rischi reputazionali che ne conseguono.

• Google vs. Gooogle LLC (2022): Nell’ottobre 2022, Google ha intentato una causa presso la U.S. District Court for the Southern District of New York contro Gooogle LLC, una società che ha registrato domini tra cui "gooogle.com" (con una 'o' in più). Secondo i documenti del tribunale, il dominio typosquattato distribuiva malware e conduceva campagne di phishing rivolte agli utenti Google. Il caso ha dimostrato come anche i brand più riconoscibili al mondo affrontino minacce di typosquatting continue.
• Incidente Typosquatting Equifax (2017): Durante le conseguenze del massiccio data breach di Equifax che ha colpito 147 milioni di consumatori, la stessa azienda ha accidentalmente indirizzato le vittime della violazione a un dominio typosquattato. L’account Twitter ufficiale di Equifax ha pubblicato link a "securityequifax2017.com" invece del legittimo sito di risposta "equifaxsecurity2017.com". Il dominio typosquattato, creato da un ricercatore di sicurezza, avrebbe potuto essere sfruttato dagli attaccanti per raccogliere credenziali dalle vittime confuse.

Questi incidenti illustrano come il typosquatting minacci le organizzazioni sia come target sia come potenziali abilitatori involontari di attacchi contro i propri clienti. Ma cosa rende questo vettore di attacco così costantemente efficace tra settori e target diversi?

Perché il Typosquatting ha successo

Il typosquatting sfrutta vantaggi fondamentali per l’attaccante che rendono questa tecnica costantemente efficace indipendentemente dagli investimenti in sicurezza.

• L’errore umano è statisticamente garantito. L’FBI ha documentato 298.878 segnalazioni di phishing nel 2023. Su scala aziendale, con migliaia di dipendenti che digitano URL ogni giorno, gli errori di battitura si verificano con certezza matematica. Gli attaccanti non hanno bisogno di exploit sofisticati quando la semplice registrazione di domini cattura traffico organico indirizzato erroneamente da comportamenti umani prevedibili.
• La percezione visiva non distingue caratteri pixel-identici. Quando guardi "pаypal.com" contenente la 'а' cirillica (U+0430) invece della 'a' latina (U+0061), la tua corteccia visiva lo interpreta come "paypal.com" perché i glifi resi sono identici. Secondo la ricerca ICANN, gli attaccanti hanno registrato migliaia di varianti omografe uniche sfruttando questa limitazione biologica.
• Gli indicatori di fiducia vengono sfruttati come arma. Gli attaccanti ottengono certificati SSL validi per domini typosquattati da autorità di certificazione legittime in pochi minuti. L’icona del lucchetto che hai insegnato agli utenti a verificare ora fornisce una falsa sicurezza. Secondo la documentazione ICANN, il certificato dimostra solo che la connessione è cifrata, non che il dominio sia legittimo.
• L’esecuzione dell’attacco richiede risorse minime. La registrazione di un dominio costa meno di 15$ e si completa in pochi minuti. I certificati SSL gratuiti di Let's Encrypt forniscono legittimità istantanea. I kit di phishing automatizzano il deployment delle pagine di raccolta credenziali. Gli attaccanti non incontrano barriere tecniche, abilitando campagne su larga scala con investimenti minimi.

Questi vantaggi per l’attaccante creano sfide corrispondenti per i team di sicurezza che cercano di difendersi dal typosquatting.

Sfide nella difesa contro il Typosquatting

I team di sicurezza affrontano limitazioni strutturali che rendono la difesa dal typosquatting fondamentalmente difficile, anche con risorse e strumenti adeguati.

• Il rilevamento basato sulla reputazione arriva troppo tardi. Il tuo stack di sicurezza si basa su blocklist e threat intelligence che identificano domini malevoli dopo che sono stati osservati in attacchi. I domini typosquattati appena registrati non hanno alcuna storia di reputazione, aggirando i tuoi filtri fino a quando le prime vittime non sono già compromesse.
• La scala delle varianti supera la capacità di monitoraggio. Un singolo brand genera centinaia di varianti typosquattate matematicamente possibili tra modifiche di carattere, alternative TLD e combinazioni di combosquatting. Monitorare ogni permutazione su ogni TLD, combinato con omografi IDN, supera la capacità pratica di revisione umana o automatizzata.
• La superficie di attacco si estende oltre i domini web. Gli attaccanti ora utilizzano il typosquatting nei repository di pacchetti software (NPM, PyPI, RubyGems) e nei repository di modelli AI/ML (Hugging Face). Il tuo monitoraggio dei domini non offre alcuna visibilità quando gli sviluppatori installano accidentalmente "requets" invece di "requests" da gestori di pacchetti compromessi.
• L’intercettazione email non genera alert di sicurezza. Quando i dipendenti inviano accidentalmente comunicazioni interne a versioni typosquattate del tuo dominio, non viene attivato alcun rilevamento. Gli attaccanti gestiscono mail server centralizzati che raccolgono silenziosamente email indirizzate erroneamente contenenti informazioni di business, dati finanziari e comunicazioni strategiche.
• I processi di takedown sono più lenti degli attacchi. I reclami UDRP e le segnalazioni di abuso ai registrar richiedono giorni o settimane per essere processati. Gli attaccanti registrano domini sostitutivi più velocemente di quanto i meccanismi legali li rimuovano, creando un ciclo infinito in cui la difesa è sempre in ritardo rispetto all’offensiva.

Queste sfide strutturali spesso portano i team di sicurezza a errori comuni che in realtà ampliano i gap sfruttati dagli attaccanti.

Errori comuni nella difesa contro il Typosquatting

La tua organizzazione probabilmente commette errori nell’implementazione delle difese contro il typosquatting che creano gap sfruttabili attivamente dagli attaccanti.

• Errore 1: Presumere che il filtraggio URL offra protezione adeguata. Hai implementato proxy web e servizi di filtraggio DNS che bloccano domini malevoli noti. Questa supposizione fallisce perché i domini typosquattati appaiono appena registrati senza alcuna storia di reputazione malevola.
• Errore 2: Trascurare l’implementazione dell’autenticazione email. Non hai implementato DMARC con policy di enforcement (p=quarantine o p=reject) per i domini della tua organizzazione. Senza enforcement DMARC, i messaggi spoofati raggiungono le caselle dei destinatari mentre la reputazione del tuo brand soffre per campagne di phishing che non hai inviato.
• Errore 3: Concentrarsi esclusivamente sui domini web ignorando la supply chain software. Il tuo team di sicurezza monitora le registrazioni di dominio per il typosquatting web-based ma non offre visibilità sulle installazioni dei package manager sulle workstation degli sviluppatori. Quando gli sviluppatori digitano "requets" invece di "requests" in un comando pip install, i pacchetti typosquattati vengono distribuiti direttamente negli ambienti di sviluppo.
• Errore 4: Formare gli utenti a verificare le icone del lucchetto senza spiegare i limiti dei certificati. La tua formazione sulla sicurezza presenta una lacuna: non hai spiegato che gli attaccanti ottengono facilmente certificati SSL validi per domini typosquattati. Il certificato dimostra la cifratura, non la legittimità.
• Errore 5: Implementare difese senza misurare l’efficacia. Hai registrato varianti difensive di dominio e configurato l’autenticazione email, ma non hai implementato il monitoraggio per misurare con quale frequenza gli utenti incontrano domini typosquattati che prendono di mira la tua organizzazione.

Evitare questi errori parte dalla visibilità. Non puoi difenderti da minacce di cui non conosci l’esistenza.

Come rilevare il Typosquatting che prende di mira il tuo brand

Identificare i domini typosquattati prima che vengano armati dagli attaccanti richiede un monitoraggio proattivo su più fonti di dati.

• Il monitoraggio Certificate Transparency offre visibilità quasi in tempo reale sui nuovi certificati SSL emessi. Quando gli attaccanti ottengono certificati per domini simili al tuo brand, i log CT catturano l’evento di emissione. Configura alert per emissioni di certificati contenenti il nome della tua organizzazione o dei tuoi prodotti.
• L’analisi DNS rivela pattern sospetti di registrazione. Monitora registrazioni massive di domini simili al tuo brand su più TLD in brevi intervalli di tempo. Gli attaccanti tipicamente registrano dozzine di varianti simultaneamente prima di lanciare campagne.
• Il monitoraggio dei database WHOIS traccia nuove registrazioni di dominio che corrispondono a pattern di typosquatting. I servizi commerciali di threat intelligence generano varianti di typosquatting in modo algoritmico e avvisano quando domini corrispondenti appaiono nei database di registrazione.
• Gli algoritmi di generazione typosquatting creano elenchi completi di varianti utilizzando calcoli di distanza Damerau-Levenshtein. Questi strumenti generano ogni possibile modifica a singolo carattere, quindi incrociano i risultati con i record DNS attivi per identificare le minacce registrate.
• L’analisi del traffico web identifica quando i tuoi utenti navigano verso domini typosquattati. I log delle query DNS, i dati dei proxy web e la telemetria degli endpoint rivelano pattern di traffico indirizzato erroneamente che indicano campagne di typosquatting attive contro la tua organizzazione.

Il solo rilevamento non basta. Una volta che puoi identificare le minacce di typosquatting, hai bisogno di difese sistematiche che prevengano la compromissione fin dall’inizio.

Best practice per la prevenzione del Typosquatting

Difendersi dal typosquatting richiede controlli a più livelli che affrontino simultaneamente vulnerabilità a livello di dominio, rete, endpoint e organizzazione.

• Implementa la registrazione difensiva dei domini con una prioritizzazione basata sul rischio. Secondo le linee guida CIS, dovresti "considerare l’acquisto di varianti dei tuoi domini per proteggerti dagli errori tipografici più comuni." Registra le varianti di typosquatting più prevedibili in quattro categorie principali:

1. Variazioni di trattino (company-name.com vs companyname.com)
2. Variazioni omografe usando caratteri simili, in particolare caratteri cirillici
3. Errori di battitura comuni basati sulla vicinanza dei tasti
4. Alternative TLD critiche (.com, .net, .org, .co)

• Implementa l’autenticazione email con enforcement DMARC graduale. Configura record SPF, implementa la firma DKIM e distribuisci DMARC inizialmente in modalità monitor (p=none). Dopo aver validato le fonti di posta legittime, passa a policy di quarantena e poi di rifiuto.
• Configura controlli di sicurezza DNS con risoluzione cifrata. Implementa DNSSEC per validare crittograficamente le risposte DNS. Configura servizi DNS protetti che bloccano i domini appena registrati fino al completamento dell’analisi reputazionale.
• Stabilisci un monitoraggio continuo dei domini con alerting autonomo. Iscriviti a feed di registrazione domini da log Certificate Transparency, database WHOIS e servizi commerciali di monitoraggio domini. Monitora le varianti di combosquatting che combinano il nome della tua organizzazione con parole comuni come secure, login, portal, verify e account.
• Costruisci protezioni a livello endpoint che fermano le conseguenze post-click. La Singularity Platform di SentinelOne offre capacità di risposta autonoma che isolano gli endpoint quando si verificano comportamenti sospetti, bloccando l’esecuzione di malware e i tentativi di furto di credenziali che seguono compromissioni da typosquatting.
• Forma gli utenti su tecniche di verifica specifiche. Forma gli utenti a esaminare manualmente gli URL carattere per carattere prima di inserire le credenziali. Sottolinea l’uso dei segnalibri per i siti visitati frequentemente invece della digitazione manuale degli URL.

Anche con questi controlli in atto, alcuni attacchi di typosquatting raggiungeranno i tuoi utenti. Quando la prevenzione fallisce, hai bisogno di protezione a livello endpoint che blocchi le conseguenze.

Ferma gli attacchi Typosquatting con SentinelOne

La Singularity Platform di SentinelOne offre protezione a livello endpoint contro le attività malevole che seguono quando gli utenti raggiungono domini typosquattati, completando le difese basate su dominio che prevengono la navigazione iniziale verso siti malevoli.

Quando payload malevoli vengono distribuiti sui tuoi endpoint dopo tentativi di raccolta credenziali, Singularity Endpoint offre AI comportamentale che rileva il furto di credenziali in tempo reale. Sperimenti l’88% di rumore in meno rispetto alle soluzioni concorrenti secondo le valutazioni indipendenti MITRE ATT&CK, consentendo al tuo SOC di concentrarsi sulle minacce reali invece di indagare sui falsi positivi.

• Accelera la risposta agli incidenti di typosquatting con Purple AI. Secondo la ricerca SentinelOne, Purple AI accelera significativamente l’identificazione e la remediation delle minacce. Quando scopri che gli utenti hanno navigato verso domini typosquattati, Purple AI interroga i dati degli endpoint in linguaggio naturale, identificando istantaneamente quali sistemi hanno acceduto al dominio e se sono seguiti comportamenti sospetti. Il tuo workflow investigativo passa da ore a minuti. Invece di correlare manualmente log DNS, dati proxy web e telemetria endpoint su più piattaforme, chiedi a Purple AI: "Quali endpoint hanno risolto typosquatted-domain.com negli ultimi 7 giorni e quali processi sono stati eseguiti dopo?" Purple AI restituisce timeline forensi complete che mostrano esattamente cosa è accaduto sui sistemi interessati.
• Ottieni visibilità completa sulla catena di attacco con la tecnologia Storyline quando il typosquatting funge da punto di ingresso iniziale della compromissione. Storyline cattura ogni creazione di processo, connessione di rete, modifica di file e cambiamento di registro che segue. Vedi l’intera progressione dell’attacco dalla navigazione iniziale nel browser, attraverso la raccolta credenziali, i tentativi di movimento laterale e l’esfiltrazione dati in una timeline unificata.

Richiedi una demo di SentinelOne per rafforzare la protezione degli endpoint contro gli attacchi di typosquatting. Singularity Endpoint blocca l’esecuzione di malware, rileva i tentativi di furto di credenziali in tempo reale con l’88% di rumore in meno rispetto alle soluzioni concorrenti e ferma la progressione degli attacchi tramite il monitoraggio AI comportamentale.

Key Takeaways

Il typosquatting sfrutta errori di digitazione umani prevedibili, generando 298.878 segnalazioni all’FBI nel 2023 e abilitando attacchi che vanno dal furto di credenziali alla distribuzione di ransomware. L’attacco ha successo perché i domini appena registrati non hanno storia di reputazione malevola, consentendo loro di aggirare i controlli di sicurezza tradizionali fino a quando non vengono osservati in attacchi attivi.

Una difesa efficace richiede controlli a più livelli: registrazione difensiva dei domini, autenticazione email (DMARC/SPF/DKIM), sicurezza DNS, monitoraggio continuo e protezione endpoint. Quando gli attacchi di typosquatting riescono a compromettere gli utenti, la Singularity Platform di SentinelOne offre AI comportamentale che rileva furto di credenziali ed esecuzione di malware con l’88% di rumore in meno rispetto alle soluzioni concorrenti, consentendo una risposta rapida alle attività malevole successive alla compromissione basata su dominio.