Il 96% delle aziende ha individuato la copia esatta del proprio sito, ma con un’estensione differente (per esempio “.net” invece di .com”) e il 76% invece aveva domini “lookalike” che imitavano quello ufficiale. Mentre più dell’85% delle aziende retail ha rilevato domini che rivendevano versioni contraffatte dei propri prodotti. In media, ogni brand ha rilevato oltre 200 casi del genere. Inoltre, a differenza di altri settori, la maggior parte dei domini di rivendita possedeva certificati di sicurezza, apparendo così legittimo agli occhi dei clienti. Sono alcuni dei dati particolarmente preoccupanti che si leggono nel primo Domain Fraud Report 2019 (reso pubblico da Proofpoint), nel quale sono illustrati i principali trend e le tecniche utilizzate dai cyber criminali in ambito di frode del dominio. Tale report fornisce un’analisi completa dei dati raccolti da Proofpoint Active Domains Database, che include più di 350 milioni di domini e rappresenta virtualmente tutti i domini del web, in un periodo di dodici mesi.
La crescita del numero di domini pericolosi corrisponde all’incremento generale delle attività in questo ambito. Tra il Q1 e il Q4 2018, le registrazioni di domini pericolosi sono aumentate dell’11%. Quasi tutti i domini fraudolenti rilevati da Proofpoint sono rimasti attivi e pronti per essere sfruttati per un attacco alla sicurezza informatica, e oltre il 90% era associato a un server operativo. Di questi domini, più del 15% possiede registrazioni Mail Exchanger (MX), con informazioni relative all’invio e alla ricezione di email. Uno su quattro è dotato anche di certificati di sicurezza – un valore molto più alto di quanto non accada solitamente nel panorama dei domini aggregati – e molti utenti li confondono, considerandoli legittimi e sicuri.
I domini pericolosi sfruttano molti degli stessi registrar, server web ed estensioni (TLD) dei domini legittimi per appropriarsi dell’identità di un’azienda e manipolare gli utenti. Questi fattori, uniti all’elevata proporzione di server web attivi, di cui molti con certificati SSL validi, aumentano la percezione di legittimità dei domini fittizi, aumentando di fatto la possibilità di attacchi potenziali, tra cui richiesta di effettuare bonifici, campagne phishing, commercializzazione di prodotti contraffatti e altre truffe.
I domini contraffatti utilizzano le email per attacchi altamente targettizzati. Per il 94% delle aziende analizzate, Proofpoint ha identificato almeno un dominio pericoloso che ne ricrea il brand e invia email. Molti di questi domini inviano un numero limitato di email, comportamento tipico associato ad attacchi altamente targettizzati e basati su tecniche di ingegneria sociale. Gli aggressori che invece fingono di appartenere a note aziende retail (in particolare quelle caratterizzate da un ecosistema complesso), e inviano quantità di messaggi elevati, appartengono alla categoria di criminali che desiderano attacchi su larga scala, colpendo clienti e partner.
Infine, Proofpoint ha rilevato che nel 2018, grazie all’introduzione di nuove estensioni, come .app e .icu, gli hacker hanno potuto registrare finti domini molto simili ai reali e legittimi “.com”.
“Come in altri ambiti, anche le attività di domain fraud sono mirate a colpire i singoli individui e non l’infrastruttura – ha spiegato Ali Mesdaq, director of Digital Risk Engineering di Proofpoint – utilizzando tecniche di social engineering per ingannare gli utenti e convincerli della legittimità del dominio al quale stanno accedendo. Accedere a un dominio è relativamente semplice, e per questo motivo diventa fondamentale che le aziende tengano sotto controllo ogni eventuale sospetto di violazione, per evitare rischi per il proprio brand e i clienti.”
La tecnologia Proofpoint
Per identificare chi si impegna della “occupazione” di domini e dell’invio di campagne di phishing e fermare le loro attività pericolose, Proofpoint mette a disposizione Proofpoint Digital Risk Protection, soluzione dedicata esplicitamente alla domain protection. Grazie a machine learning e intelligenza artificiale, analizza una grande quantità di dati relative al dominio, per scoprire ogni eventuale attività fraudolenta.