Di recente Google ha introdotto la possibilità di registrare nuovi domini di primo livello “.zip” e “.mov”, sollevando non poche preoccupazioni in ambito di sicurezza.
Perché può essere un’opportunità per diffondere malware?
Gli utenti sono abituati a considerare questo tipo di estensioni come riferimento ad uno specifico file, ad esempio un’estensione .zip lascia pensare al formato di un archivio compresso mentre un’estensione .mov ad un file con contenuto video.
Quindi, oltre a dare ad un potenziale attaccante l’opportunità di registrare domini ad-hoc del tipo “archivio.zip”, “backup.zip” o “video.mov” (sfruttando quindi l’associazione ai più nota) è emersa la possibilità di dirottare le vittime verso domini malevoli con l’uso combinato di specifici caratteri (simili al carattere legittimo slash “/”) e la “@” negli URL. Infatti, se un utente riceve un’email che lo invita a cliccare su un link che sembra condurre ad un percorso per scaricare un file .zip o .mov, invece che fargli scaricare il file compresso o il file video, tale link lo indirizza su un sito potenzialmente in grado di compromettere o infettare il suo dispositivo.
Questi nuovi domini di primo livello possono essere utilizzati per campagne di phishing per confondere gli utenti che, nella convinzione di scaricare o aprire dei file con dei formati a loro noti, vengono reindirizzati su siti malevoli.
tiridifilm / iStock via Getty Images
Come funziona tecnicamente?
Facciamo un esempio:
Un utente riceve un’email in cui si richiede di scaricare urgentemente l’ultima versione “update-v06” del software di sicurezza direttamente dal sito di Fastweb, cliccando il seguente link:
https://fastweb.it∕security∕updates@update-v06.zip
In questo caso, l’utente, invece che atterrare su fastweb.it, viene indirizzato su https://update-v06.zip. Questo perché i presunti “slash” nell’URL non sono dei veri separatori del percorso in cui si trova il fantomatico aggiornamento, ma sono dei caratteri speciali che mirano a rendere più difficile l’individuazione del vero dominio, ossia “update-v06.zip”. Va da sé che l’attaccante potrà aver registrato questo dominio a proprio nome, controllandone così i contenuti e abilitando interazioni malevole con il browser della vittima.
Un esempio pratico
Vogliamo provare a toccare con mano le possibili conseguenze offerte da questo semplice trucco?
Proviamo a digitare “https://google.com∕gmail∕inbox@%62%69%6E%67%2E%63%6F%6D” nella barra degli indirizzi del nostro browser. Ci aspetteremmo di accedere a Gmail, e invece…
Photo by Raoul Brenna
Com’è possibile? Semplicemente perché le “slash” nella URL non sono tali, e “%62%69%6E%67%2E%63%6F%6D” non è altro che un modo per rappresentare la stringa “bing.com” utilizzando la codifica ASCII per ogni carattere.
Come ci possiamo proteggere?
Dato che i domini .zip e .mov possono dare ai criminali informatici delle opportunità in più per architettare campagne di phishing in grado di confondere gli utenti, occorre prestare davvero molta attenzione all’URL prima di cliccare su un link, specialmente se provenienti da fonti esterne. In particolare, si consiglia di:
- Fare attenzione agli URL contenenti caratteri speciali, tecnicamente Unicode U+2044 (⁄) e U+2215 (∕), che somigliano molto al carattere / ma non lo sono. Può essere utile visivamente confrontarli con doppia barra di “https://” (o “http://”), tecnicamente sempre presente.
- Fare attenzione agli URL contenenti il simbolo “@”. Il simbolo è lecito, tuttavia poco comune nella grande maggioranza delle casistiche di interesse per gli utenti, e poco utilizzato per l’accesso ai siti web.
- Passare il mouse sopra l’URL (se si lavora con un PC, o procedere in altro modo simile a seconda del dispositivo utilizzato) prima di cliccare il link in modo tale da vedere il percorso dell’URL reale.
- Adottare sempre tutte le dovute accortezze (mittente, contenuto, coerenza interna, contesto, correttezza, ecc.) nel valutare la legittimità dell’email che veicola il link sospetto.
Teniamoci sempre aggiornati e segnaliamo (attraverso le funzionalità messe a disposizione dal nostro provider di posta o dalla nostra azienda) ogni email sospetta, specie se richiedono lo scaricamento di file, la visualizzazione di video sensazionalistici o contengono link inattesi con URL particolari.