Non farti abbindolare dal Phishing: capire i domini Internet – Pratum

Cyber criminale con campagna di phishing via email

Il phishing esiste da molto tempo, e i numeri dell’indice più recente mostrano che gli attaccanti lo stanno usando con entusiasmo.

Infoblox DNS Threat Index, Q2 Quarterly Report 2015

Gli utenti finali della rete, come difensori di prima linea, sono una componente critica del programma di sicurezza informatica di un’organizzazione. Negli ultimi anni, gli argomenti di sensibilizzazione e formazione per gli utenti finali della rete hanno incluso il phishing sia per la sua natura dilagante che per i metodi sempre più sofisticati che i phisher utilizzano per attirare le vittime. Quando i nostri consulenti valutano il rischio all’interno di un’organizzazione e discutono con loro i loro sforzi di sensibilizzazione e formazione sul phishing, possiamo vedere indicazioni come “non cliccare su link sospetti” e “passare il puntatore del mouse sui link di un’email per controllare se è legittima”. Tuttavia, come si fa a valutare se un link e il relativo Uniform Resource Locator (URL) portano a un sito legittimo o meno?

Per valutare link e URL, una persona dovrebbe comprendere i domini di primo livello generici (gTLD), i TLD con codice paese (ccTLD) e altri tipi di domini Internet. A tal fine, questo articolo fornisce alcune informazioni di alto livello sulla lettura e l’interpretazione di link/URL.

Una breve storia dei domini di primo livello generici

Siamo tutti abituati a vedere i gTLD. Quasi ogni giorno usiamo i gTLD, compresi quelli a noi più familiari, come .com, .gov e .edu. Sono una parte fondamentale della struttura di Internet. Sono anche ben compresi dai phisher, che manipolano gli URL per uso fraudolento. Per valutare al meglio i link all’interno delle e-mail, così come gli URL all’interno dei browser, è bene sapere come i vari domini si sono evoluti e come funzionano.

Nel 1984, la Request for Comments (RFC) 920 fu usata per definire gli originali “domini di uso generale” – .com, .gov, .mil, .edu, e .org. Un altro dominio, .net, fu aggiunto all’inizio del 1985 ed è anche considerato uno dei domini “originali”. Nel 1988, .int (internazionale) fu aggiunto per soddisfare la richiesta dell’Organizzazione del Trattato Nord Atlantico per un dominio. Nel corso degli anni, sono stati aggiunti altri domini, come .biz e .info (2001). All’inizio del 2011, erano stati stabiliti 22 gTLD. Nel giugno 2011, l’Internet Corporation for Assigned Names and Numbers (ICANN) ha votato per rimuovere molte delle restrizioni sulle applicazioni e sull’implementazione dei gTLD, aprendo effettivamente la porta all’utilizzo di quasi tutti i gTLD. Secondo le nuove regole, a maggio 2015, oltre 600 gTLD, compresi i nuovi gTLD come .auto, .computer, .network, .social, .pizza, .organic, erano stati registrati e autorizzati all’uso su Internet. Secondo alcuni esperti di sicurezza, questa evoluzione dei gTLD è considerata un regalo ai phisher perché permetterà loro di formare una moltitudine di nuovi siti web di phishing. Per un elenco completo dei gTLD ampliati, si veda l’Internet Assigned Numbers Authority (IANA) Root Zone Database (https://www.iana.org/domains/root/db).

Country Code TLDs

I TLDs di codice paese sono anche parte di molti URL, e, quindi, ci si può aspettare di vederli nei link a volte. I paesi hanno ccTLD per aiutare a distinguere il paese in cui un sito è registrato o da cui proviene. Per esempio, il ccTLD per gli Stati Uniti, .us, è spesso usato dai governi statali e locali. Altri esempi di ccTLD sono Australia, .au; Giappone, .jp; e Regno Unito, .uk. Quando leggete un link o un URL, rendetevi conto che la posizione del ccTLD all’interno dell’URL potrebbe spostarsi (alla fine di un URL, come http://www.gov.uk, o prima in un URL, come https ://uk.news.yahoo.com).

Did You Know?

Quattro paesi hanno scelto di permettere ai loro ccTLD di essere usati per scopi commerciali. Per esempio, .co, il ccTLD per la Colombia, può essere usato al posto di .com. È molto popolare, a causa del fiorente dominio .com, e permette alle imprese di avere modi alternativi per formare nomi di siti web.

Hai visto l’URL http://o.co? Questo è Overstock.com che fornisce un modo alternativo per raggiungere l’azienda attraverso il tuo browser.

Potresti aver visto youtu.be. Questo è un URL legittimo, registrato da Google usando il ccTLD del Belgio, .be.

Molto dell’industria dell’intrattenimento usa il ccTLD di Tavalu, .TV. È un ottimo modo per la nazione insulare di fare soldi.

Quando si cerca di determinare se un sito è legittimo, rendersi conto che molti ccTLD sono utilizzati anche per scopi commerciali. Quello che sembra un sito sospetto potrebbe essere, infatti, legittimo. Tuttavia, i ccTLD possono anche essere usati per formare nomi per siti di phishing, quindi nel dubbio, non cliccare!

Come si formano i link/URL

Quindi qual è la chiave per leggere gli URL nei link? La risposta di base è che, all’interno di un link, le cose importanti si trovano tra la doppia barra in avanti “//” e la prima barra singola, principalmente nell’area evidenziata mostrata qui sotto. Per interpretare l’URL, vai alla prima singola barra, e poi risali da lì. Dopo la prima barra, vengono elencate cose come directory, sottodirectory, nomi di file e tipi di file.

La struttura di un link/URL

Nota: La struttura di cui sopra è la suddivisione base dell’URL. Al posto di http:// o https://, potresti vedere ftp://, gopher://, o news://. Questi sono diversi tipi di protocolli di trasferimento. Inoltre, sebbene www sia presente in molti URL, non è un componente obbligatorio. Si possono vedere campi aggiuntivi prima del gTLD e del nome del dominio/server secondario. Dopo la prima barra in avanti, si possono vedere campi che indicano date, o altre informazioni utilizzate per identificare una risorsa.

Esempio di link/URL

Ora che siamo armati di alcune informazioni di base, guardiamo alcuni esempi.

  1. Siamo abbastanza abituati a vedere e usare siti commerciali, come: http://www.amazon.com

    Questo è un sito conosciuto, e l’URL non include alcuna modifica sospetta.
    Valutazione: LEGIT!

  2. Gli URL possono essere formati in qualsiasi modo. Questo rende facile per i proprietari di siti costruire nomi di siti unici. Rende anche facile per i phisher fare lo stesso, il che significa che possono costruire nomi di siti che si avvicinano molto ai nomi di siti legittimi. Per esempio, guardate cosa può fare un semplice punto al nome di un sito: http://www.ama.zon.com/gp/cart/view.html/ref=nav_cart

    Se una persona dovesse cliccare sul link qui sopra, invece di andare su amazon.com, sarebbe indirizzata al sito zon.com, che potrebbe essere un sito registrato dai phisher.
    Valutazione: SUSPECT!

  3. Che ne dici di questo link? http://This L’indirizzo e-mail è protetto dallo spam bot. Devi abilitare JavaScript per vederlo./catalogo

    In questo caso, una persona sarebbe diretta all’indirizzo IP 66.161.153.155, non a amazon.com. Se vedete un link/URL con un segno “@”, state particolarmente attenti. I phisher usano abitualmente questa tattica di manipolazione dell’URL.
    Valutazione: SUSPECT!

  4. Che cosa succede se vedi questo URL in un link? http://209.131.36.158/amazon.com/index.jsp

    Questo URL è in qualche modo simile in funzione all’URL in #3 sopra. Una persona verrebbe indirizzata all’indirizzo IP, non a amazon.com, che è elencato dopo la prima singola barra in avanti.
    Valutazione: SUSPECT!

  5. Cosa succede se vedi un URL simile a quello qui sotto, o, mentre guardi una pagina web che si carica, vedi qualcosa di simile a questo nella barra dell’URL? http://www.google.com/url?q=http://www.badsite.com

    Questo esempio mostra un URL che rimanda una persona da un sito (in questo caso, google.com) a un altro sito, badsite.com (si noti la nomenclatura “=http://” che lo permette). I rinvii non sono di per sé cattivi, ma un rinvio potrebbe portare ad un sito di phishing. In questo caso, badsite.com non sembra essere legittimo.
    Valutazione: SUSPECT!

  6. Did You Know?

    Visiti un sito web e vedi “www1” o “www2” (o un altro numero) nell’URL. Che cosa significa? Alcuni siti web possono essere molto popolari e, pertanto, hanno più server che lavorano in una configurazione di bilanciamento del carico per servire il contenuto quando richiesto. Alcune aziende scelgono di numerare i loro server. Quindi, se vedi un www1 o www2 (o un altro www#), stai solo vedendo quale server # tra più server sta fornendo il contenuto. Per quanto riguarda il phishing, vedere un www1, www2, ecc, non è di per sé un indicatore di un sito di phishing.

    Per aiutare gli utenti a determinare rapidamente i domini di primo livello e secondari all’interno di un URL, alcune aziende e organizzazioni hanno iniziato a utilizzare la “evidenziazione del dominio”. Quando un utente visita un sito, una parte dell’URL si oscura dopo alcuni secondi, lasciando i domini di primo livello e secondari al buio. Per esempio:

    Dominio PayPal

    È sempre bene cercare i segni di un sito legittimo e sicuro: lucchetto chiuso, https://, e nome della società evidenziato in verde all’interno dell’URL (come nell’esempio di PayPal sopra). Se il certificato di un sito è scaduto o comunque non valido, alcuni browser, come Internet Explorer e Firefox, o servizi di sicurezza, avviseranno gli utenti. Una persona potrebbe chiedersi se è sicuro procedere attraverso l’avvertimento. In questo caso, utilizzare altri indicatori disponibili (rivedere l’URL) per aiutare a determinare se il sito è legittimo. In caso di dubbio, non procedere.

    Conclusione

    Il phishing continua ad essere un problema globale, esacerbato da utenti che non sono consapevoli delle tattiche di phishing, metodi di phishing sempre più sofisticati, e ora, un crescente insieme di Top-Level Domains generici. Anche se i link nelle e-mail non sono l’unico metodo usato dai phisher, è molto comune. Per ridurre i rischi posti dal phishing, è necessario sapere come interpretare i link e gli URL associati.

    Se sei interessato a saperne di più sull’ingegneria sociale, la consapevolezza e la formazione, e i servizi di valutazione del rischio, contattaci oggi stesso.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.