login LOGIN
CHIUDI chiudi
Il mio profilo

mostra
Hai dimenticato la password?
Inserisci l'indirizzo email di registrazione per reimpostare la password.
Segui le istruzioni che ti abbiamo inviato per posta elettronica.

Rischio cyber con i nuovi domini .zip e .mov

Ascolta l'articolo

Con l’introduzione dei nuovi domini di primo livello .zip e .mov si aprono nuove opportunità per i criminali informatici.

cyber ipopba / iStock via Getty Images

Di recente Google ha introdotto la possibilità di registrare nuovi domini di primo livello “.zip” e “.mov”, sollevando non poche preoccupazioni in ambito di sicurezza.

Perché può essere un’opportunità per diffondere malware?

Gli utenti sono abituati a considerare questo tipo di estensioni come riferimento ad uno specifico file, ad esempio un’estensione .zip lascia pensare al formato di un archivio compresso mentre un’estensione .mov ad un file con contenuto video.

Quindi, oltre a dare ad un potenziale attaccante l’opportunità di registrare domini ad-hoc del tipo “archivio.zip”, “backup.zip” o “video.mov” (sfruttando quindi l’associazione ai più nota) è emersa la possibilità di dirottare le vittime verso domini malevoli con l’uso combinato di specifici caratteri (simili al carattere legittimo slash “/”) e la “@” negli URL. Infatti, se un utente riceve un’email che lo invita a cliccare su un link che sembra condurre ad un percorso per scaricare un file .zip o .mov, invece che fargli scaricare il file compresso o il file video, tale link lo indirizza su un sito potenzialmente in grado di compromettere o infettare il suo dispositivo.

Questi nuovi domini di primo livello possono essere utilizzati per campagne di phishing per confondere gli utenti che, nella convinzione di scaricare o aprire dei file con dei formati a loro noti, vengono reindirizzati su siti malevoli.

cyber


tiridifilm / iStock via Getty Images

Come funziona tecnicamente?

Facciamo un esempio:
Un utente riceve un’email in cui si richiede di scaricare urgentemente l’ultima versione “update-v06” del software di sicurezza direttamente dal sito di Fastweb, cliccando il seguente link: 

https://fastweb.it∕security∕updates@update-v06.zip

In questo caso, l’utente, invece che atterrare su fastweb.it, viene indirizzato su https://update-v06.zip. Questo perché i presunti “slash” nell’URL non sono dei veri separatori del percorso in cui si trova il fantomatico aggiornamento, ma sono dei caratteri speciali che mirano a rendere più difficile l’individuazione del vero dominio, ossia “update-v06.zip”. Va da sé che l’attaccante potrà aver registrato questo dominio a proprio nome, controllandone così i contenuti e abilitando interazioni malevole con il browser della vittima.

Un esempio pratico

Vogliamo provare a toccare con mano le possibili conseguenze offerte da questo semplice trucco?

Proviamo a digitare “https://google.com∕gmail∕inbox@%62%69%6E%67%2E%63%6F%6D” nella barra degli indirizzi del nostro browser. Ci aspetteremmo di accedere a Gmail, e invece…

cyber

Photo by Raoul Brenna

Com’è possibile? Semplicemente perché le “slash” nella URL non sono tali, e “%62%69%6E%67%2E%63%6F%6D” non è altro che un modo per rappresentare la stringa “bing.com” utilizzando la codifica ASCII per ogni carattere.

Come ci possiamo proteggere?

Dato che i domini .zip e .mov possono dare ai criminali informatici delle opportunità in più per architettare campagne di phishing in grado di confondere gli utenti, occorre prestare davvero molta attenzione all’URL prima di cliccare su un link, specialmente se provenienti da fonti esterne. In particolare, si consiglia di:

  • Fare attenzione agli URL contenenti caratteri speciali, tecnicamente Unicode U+2044 (⁄) e U+2215 (∕), che somigliano molto al carattere / ma non lo sono. Può essere utile visivamente confrontarli con doppia barra di “https://” (o “http://”), tecnicamente sempre presente.
  • Fare attenzione agli URL contenenti il simbolo “@”. Il simbolo è lecito, tuttavia poco comune nella grande maggioranza delle casistiche di interesse per gli utenti, e poco utilizzato per l’accesso ai siti web.
  • Passare il mouse sopra l’URL (se si lavora con un PC, o procedere in altro modo simile a seconda del dispositivo utilizzato) prima di cliccare il link in modo tale da vedere il percorso dell’URL reale
  • Adottare sempre tutte le dovute accortezze (mittente, contenuto, coerenza interna, contesto, correttezza, ecc.) nel valutare la legittimità dell’email che veicola il link sospetto.

Teniamoci sempre aggiornati e segnaliamo (attraverso le funzionalità messe a disposizione dal nostro provider di posta o dalla nostra azienda) ogni email sospetta, specie se richiedono lo scaricamento di file, la visualizzazione di video sensazionalistici o contengono link inattesi con URL particolari.

Scritto da:
Raoul Brenna
Manager of Cybersecurity by Design & Cybersecurity Awareness
Mi occupo di sicurezza informatica quasi vent’anni, affrontando sia i temi "tradizionali" che quelli di volta in volta più innovativi, provando sempre a sperimentare. Credo nella Security by Design e nell'awareness, come elementi essenziali di rafforzamento della security posture aziendale.
https://www.linkedin.com/in/raoul-brenna-35335a104
Addestramento IA non consentito: É assolutamente vietato l’utilizzo del contenuto di questa pubblicazione, in qualsiasi forma o modalità, per addestrare sistemi e piattaforme di intelligenza artificiale generativa. I contenuti sono coperti da copyright.
TecnologicaMente
Sei un Multitasking Master o un Procrastinatore Pro?
Immagine principale del blocco
Sei un Multitasking Master o un Procrastinatore Pro?
Fda gratis svg
Fai il test sulle abitudini di lavoro e studio con la tecnologia
Fai il test gratuito

Iscriviti
all'area personale

Per ricevere Newsletter, scaricare eBook, creare playlist vocali e accedere ai corsi della Fastweb Digital Academy a te dedicati.