A volte la fretta ci porta a commettere degli errori di battitura, finendo così vittima del typosquatting

Che cos'è il typosquatting

Al pari del cybersquatting, il typosquatting è un pericoloso atto di pirateria informatica che punta ad arrecare danni agli internauti. Spieghiamo che cos'è e come difendersi
Che cos'è il typosquatting FASTWEB S.p.A.

Typo è una parola inglese che può essere tradotta come errore di battitura, refuso. Il typosquatting è un atto di pirateria informatica che, prendendo di mira gli utenti più distratti, punta ad arrecare notevoli danni agli internauti. Vediamo come.

Che cos'è il typosquatting

Il typosquatting consiste nella registrazione di domini-civetta, il cui nome varia di una lettera (o al massimo due) rispetto al nome di un sito web molto conosciuto e con un grande volume di traffico. Ad esempio, si possono registrare domini con TLD (top-level domain, domini di primo livello) differenti rispetto all'originale (facebook.it anziché facebook.com, repubblica.com anziché repubblica.it) o con un errore di battitura (da qui il nome typosquatting) rispetto all'originale (fecebook.com, arifrance.com o yuube.com).

 

Goggle, typosquatting di Google

 

La verifica dei domini liberi è lo strumento utilizzato dai typosquatter per mettere in atto il loro piano. Sfruttando uno dei tanti siti che mette a disposizione questo servizio, il pirata informatico di turno è facilitato nel suo compito di ricerca di un dominio che faccia al caso suo. Il typosquatter può seguire due strade. Può digitare l'URL di un dominio con grande volume di traffico, come può essere facebook.com e ottenere la lista degli altri domini di primo livello con lo stesso nome (ad esempio facebook.org, facebook.it, facebook.co.uk, ecc.) procedendo quindi a registrare quelli ancora liberi. L'altra strada, invece, è verificare la disponibilità di domini simili a quello individuato ma contenenti refusi (dacebook.com, vacebook.com, racebook.com, facebok.com, ecc.) procedendo poi a registrarli. In entrambi i casi si parla di typosquatting, ma le strategie perseguite sono differenti. Il risultato, invece, è lo stesso: nel giro di poche ore è possibile registrare centinaia di nuovi domini con nomi simili a quelli legittimi in grado di trasformarsi in altrettante pericolose trappole per internauti ignari.

Si tratta quindi di una variante del cybersquatting, ma molto più pericolosa.

Phishing

Il typosquatting pone non poche problematiche in tema di sicurezza informatica. Mentre il cybersquatting causa danni, economici e di immagine, soprattutto alle aziende e società che ne sono vittima e solamente in misura minore agli utenti, il typosquatting nasce con il preciso obiettivo di danneggiare gli internauti. Come? Con il phishing, ad esempio.

 

Un refuso e finiamo nella rete del typosquatting

 

Tanto per capire meglio, partiamo da un esempio pratico. Nel 2006 la banca Unicredit si accorse, dopo la segnalazione di un suo utente, dell'esistenza di ben 26 siti web con nome di dominio riconducibili in qualche modo al dominio della banca. Si trattava, infatti, di domini-civetta, che sfruttavano errori di digitazione per ”catturare” la navigazione di internauti ignari. Nel migliore dei casi, si finiva in siti-spazzatura, pieni di pubblicità e link a pagamento; nel peggiore, si finiva in siti web che riproducevano alla perfezione il sito istituzionale di Unicredit il cui scopo era quello di entrare in possesso dei dati personali (ad esempio, username e password di accesso alla sua area privata di banking online) dell'utente finito nella trappola.

Ma nel mirino degli hacker non ci sono solo i clienti degli istituti di credito. Anche i social network come Facebook e Twitter sono spesso bersaglio dei cybersquatter. Nelle scorse settimane la società di Mark Zuckerberg, ad esempio, si è vista riconoscere un risarcimento danni di 2,8 milioni di dollari per i danni di immagine ed economici provocati da alcuni domini creati sfruttando alcuni dei refusi più comuni (come ad esempio dacebook.com o gacebook.com).

Il braccio inesistente della legge

Negli Stati Uniti, Paese che fa da apripista quando si parla di giurisprudenza informatica, il reato di typosquatting è perseguito in base all'Anticybersquatting Consumer Protection Act, la stessa legge che protegge gli internauti dal cybersquatting.

 

Anche Wikipedia finisce per diventare un obiettivo dei typosquatter

 

L'odierno ordinamento giudiziario italiano non prevede, al contrario, alcuna legge specifica che tuteli aziende e singoli in caso di typosquatting o cybersquatting. Per far valere le proprie ragioni, però, le parti lese possono ugualmente provare a rivolgersi al giudice, appellandosi all'articolo 7 del Codice Civile, ovvero la norma sul diritto al nome, e la normativa sui marchi e segni distintivi (articoli 2569-2574 del Codice Civile).

Come difendersi

Per scoprire se il proprio sito web è vittima di typosquatting, si può ricorrere a uno dei tanti strumenti di verifica che la Rete mette a disposizione.

Uno dei più utili e funzionali è quello messo a punto dalla tedesca Paderbutze. Collegandosi al sito web in questione, si inserisce l'URL del sito e si aspetta che il web tool faccia il suo dovere. Alla fine otterremo una lista dei possibili domini-civetta con l'indicazione se siano stati registrati o meno. Nel caso lo siano, cliccando sul link who is (“chi è” in inglese ) si potrà conoscere anche chi li ha registrati e da quale nazione l’abbia fatto. I servizi who is (come ad esempio quello offerto dal sito web www.whois.net) permettono infatti di ottenere informazioni riguardanti un certo dominio e, in particolare, il nome dell'utente o della società che l'ha registrato e quale servizio di web hosting è stato utilizzato per farlo.

Se così dovesse essere anche per il nostro sito web registrato in Italia, potremmo inviare una formale protesta al NIC, l'agenzia italiana che cura le pratiche per le registrazioni dei domini di primo livello del nostro Paese.

Copyright © CULTUR-E
Condividi
Ebook
Sicurezza in Rete: ne sai abbastanza?
Strumenti utili, suggerimenti pratici e tutto quello che devi assolutamente sapere per proteggere davvero i tuoi dispositivi e i tuoi dati personali quando sei connesso
scarica l'ebook

Iscriviti alla
newsletter del
Digital Magazine di
Fastweb

Riceverai ogni settimana le notizie più interessanti sul mondo della tecnologia!
Iscriviti

Grazie per esserti iscritto!

Abbiamo inviato una mail all'indirizzo che hai indicato: per completare l'iscrizione alla newsletter del Digital Magazine di FASTWEB clicca sul link all'interno della mail