Durante il periodo natalizio, complici anche i regali tecnologici, gli utenti hanno a disposizione più tempo per navigare in Internet e i cyber criminali sono pronti a sfruttare ogni occasione. A tutti, infatti, può capitare di digitare in modo errato un indirizzo Web nel browser. Nel migliore dei casi non succede nulla e appare la schermata ‘Errore 404 non trovato’, ma in quelli peggiori possiamo essere reindirizzati a un sito truffa o a un sito malware. Di solito nei casi di crimini informatici basati sul typosquatting, la vittima che ha commesso l’errore di battitura viene reindirizzata a siti truffa che cercano di trarne vantaggio. Per esempio, gli ignari utenti che pensavano di aver digitato l’indirizzo Web spesso si ritrovano all’interno di un sito malevolo che assomiglia a quello che stavano cercando e sono indotti a lasciare i propri dati senza pensarci. I cyber criminali hanno realizzato una lista molto specifica di hostname registrati, che rimanda a marchi conosciuti. I cyber criminali che controllano i domini typosquatting registrati possono realizzare una propria infrastruttura fasulla. Solitamente i cyber criminali, che condividono la lista, sfruttano un’infrastruttura fasulla già stabilita. L’infrastruttura fasulla è composta da server Web che cambia i nomi del dominio e dal contenuto finto che viene visualizzato dalle vittime. L’accordo tra i cyber criminali proprietari della lista di hostname typosquat e quelli proprietari della rete può essere definito in base a un costo fisso per il tempo in cui viene utilizzata la lista typosquat o, più spesso, in base al traffico. Gli host typosquat veramente buoni sono molto rari e quindi preziosi per i cyber criminali per due importanti ragioni: 1. Una buona combinazione di tasti che sembri essere un comune errore di battitura e che sia simile al sito Internet legittimo è rara. Esiste infatti un numero limitato di tasti che possono creare un errore di battitura: per esempio invece di digitare la lettera ‘P’ è più semplice digitare quella vicina come la ‘O’. 2. Una volta che un dominio typosquat è stato individuato, finisce sulla lista nera, diventando inutilizzabile. Per queste ragioni non è una sorpresa vedere host typosquat, che per un determinato periodo di tempo non vengono utilizzati per truffe, essere nuovamente sfruttati per un breve periodo e poi ritornare a essere inutilizzati. Inoltre, gli host typosquat utilizzano comunemente tattiche di depistaggio quando non sono usati, un metodo è reindirizzare utenti o ricercatori curiosi al sito Web legittimo per evitare qualsiasi sospetto. Altre tattiche invece posso coinvolgere i metodi blacklisting contro utenti e ricercatori che cercano di aggirare la lista typosquat. E’ importante ricordare che i siti Web legittimi e le società stesse spesso acquistano host typosquat simili al nome del proprio sito. Questa è una buona strategia per garantire il successo dei siti Web. Di solito le aziende capiscono il problema del typosquatting e di come il proprio nome potrebbe essere utilizzato per fini illegittimi. Per esempio Amazon ha registrato un elevato numero di potenziali host typosquat, tra cui aqmazon.com, amaxzon.com, amzon.com e molti altri. Sono tutti ottimi host registrati da Amazon stesso e non lasciano la possibilità di essere sfruttati dai cyber criminali. Altri mezzi potrebbero essere utilizzati per reindirizzare o attirare vittime all’infrastruttura fasulla. Per esempio, Websense ha rilevato una campagna di spam su Facebook dal titolo ‘In memoria di Steve regaliamo 1000 iPad 2s’ che reindirizzava le vittime all’infrastruttura fasulla.
