Proofpoint rende disponibile il suo primo Domain Fraud Report 2019, nel quale illustra i principali trend e le tecniche utilizzate dai cyber criminali in ambito di frode del dominio. Sono stati analizzati più di 350 milioni di domini e i domini pericolosi sono ancora troppi.
“Come in altri ambiti, anche le attività di domain fraud sono mirate a colpire i singoli individui e non l’infrastruttura, utilizzando tecniche di social engineering per ingannare gli utenti e convincerli della legittimità del dominio al quale stanno accedendo,” spiega Ali Mesdaq, director of Digital Risk Engineering di Proofpoint. “Accedere a un dominio è relativamente semplice, e per questo motivo diventa fondamentale che le aziende tengano sotto controllo ogni eventuale sospetto di violazione, per evitare rischi per il proprio brand e i clienti.”
La crescita del numero di domini pericolosi corrisponde all’incremento generale delle attività in questo ambito. Tra il Q1 e il Q4 2018, le registrazioni di domini pericolosi sono aumentate dell’11%. Quasi tutti i domini fraudolenti rilevati da Proofpoint sono rimasti attivi e pronti ad essere sfruttati per un attacco, e oltre il 90% era associato a un server operativo. Di questi domini, più del 15% possiede registrazioni Mail Exchanger (MX), con informazioni relative all’invio e alla ricezione di email. Uno su quattro è dotato anche di certificati di sicurezza – un valore molto più alto di quanto non accada solitamente nel panorama dei domini aggregati – e molti utenti li confondono, considerandoli legittimi e sicuri.
I domini pericolosi sfruttano molti degli stessi registrar, server web ed estensioni (TLD) dei domini legittimi per appropriarsi dell’identità di un’azienda e manipolare gli utenti. Questi fattori, uniti all’elevata proporzione di server web attivi, di cui molti con certificati SSL validi, aumentano la percezione di legittimità dei domini fittizi, aumentando di fatto la possibilità di attacchi potenziali, tra cui richiesta di effettuare bonifici, campagne phishing, commercializzazione di prodotti contraffatti e altre truffe.
Alcuni risultati chiave del Domain Fraud Report:
- Più dell’85% delle aziende retail ha rilevato domini che rivendevano versioni contraffatte dei propri prodotti. In media, ogni brand ha rilevato oltre 200 casi del genere. Inoltre, a differenza di altri settori, la maggior parte dei domini di rivendita possedeva certificati di sicurezza, apparendo così legittimo agli occhi dei clienti.
- Il 96% delle aziende ha individuato la copia esatta del proprio sito, ma con un’estensione differente (ad esempio “.net” invece di .com”) e il 76% invece aveva domini “lookalike” che imitavano quello ufficiale. In questo, sono state coinvolte aziende di molti settori e paesi.
- I domini contraffatti utilizzano le email per attacchi altamente targettizzati. Per il 94% delle aziende analizzate, Proofpoint ha identificato almeno un dominio pericoloso che ne ricrea il brand e invia email. Molti di questi domini inviano un numero limitato di email, comportamento tipico associato ad attacchi altamente targettizzati e basati su tecniche di ingegneria sociale. Gli aggressori che invece fingono di appartenere a note aziende retail (in particolare quelle caratterizzate da un ecosistema complesso), e inviano quantità di messaggi elevati, appartengono alla categoria di criminali che desiderano attacchi su larga scala, colpendo clienti e partner.
- Novità di mercato, come l’introduzione di estensioni aggiuntive, creano nuove opportunità ai cyber criminali. Proofpoint ha rilevato che nel 2018, grazie all’introduzione di nuove estensioni, come .app e .icu, gli hacker hanno potuto registrare finti domini molto simili ai reali e legittimi “.com”.
Per identificare chi si impegna della “occupazione” di domini e dell’invio di campagne di phishing e fermare le loro attività pericolose, Proofpoint mette a disposizione Proofpoint Digital Risk Protection, soluzione dedicata esplicitamente alla domain protection.
