Per Typosquatting s’intendono gli errori che si fanno nel digitare un URL, ad esempio Utube per Youtube, e che hanno fatto anche la fortuna di Google da quando tra le sue funzioni ha inserito l’arcinota e utilissima “forse cercavi:…”. Questi errori sono frequentissimi tant’è che spesso si sono registrati dei domini somiglianti a quelli più famosi solo per attrarre traffico e fare soldi con adsense o altri tipi di circuiti pubblicitari. Almeno finora. È stata Trend Micro a svelarci cosa si nasconde dietro il recente brulicare di nuovi siti registrati che si distinguono dagli originali solo per una vocale, un numero o una consonante: 3bay.it, corrieere.it, tyiscali.it, fgoogle.it, juvenus.it e anche il nostro tyttogratis.it.
La vecchia tecnica del Typosquatting è stata rigenerata e utilizzata in maniera massiccia in Italia per creare pagine con collegamenti a malware di tutti i tipi, nonché piene di messaggi ingannevoli e fraudolenti.
Ho esaminato per voi il fake di tUttogratis.it: tYttogratis.it, il gemello cattivo (come nella puntata di Supercar quando KIT sfidava la gemella perfida KAR;).
Dunque, appena caricata la pagina appare una prima indicazione maliziosa “Impossibile trovare la pagina richiesta. Per visualizzare la pagina richiesta è necessario l’aggiornamento di Internet Explorer.” Cliccando, il link ci porta dritti dritti su downloa-d.com/accesso-diretto.exe, che come vedete chiaramente non è il sito della Microsoft e contiene (che strano:) un eseguibile.
Ma andiamo avanti. La seconda scritta recita: In alternativa, trova su Extra Ricerca la pagina cercata o effettua la ricerca nel Web. Anche questa volta il collegamento spacciato per Virgilio è ad un altro sito trappola extraricerca.com di cui ci viene proposto anche lo scaricamento della toolbar che indovinate dove punta? downloa-d.com/accesso-diretto.exe. La trappola del motore di ricerca è ancora più subdola perchè i risultati sono extrapolati da google, ma, attenzione, solitamente il primo risultato nella lista è collegato a malware. Il malware non è ancora individuato da molti antivirus e comunque sembra che venga modificato spesso. In questi casi è fondamentale avere un antivirus che sia eccellente nella ricerca euristica (leggi il nostro articolo a riguardo)
Scorrendo la pagina appare una finestra spiccicata a quelle dei video di Youtube dove c’è una ragazzina in reggiseno e un icona PLAY grande come una casa. Cliccandola ecco il video che vi riprodurra: ragazze-spiate.com/VideoPlugin.exe. Ancora malware. O forse non riesco a vedere il video perché mi manca il codec!? Ma ecco più giù una scrittina che mi viene in soccorso: Video Plugin mancante. Scarica il codec Gratis! Anche questa volta sono fiducioso e tac ancora ragazze-spiate.com/VideoPlugin.exe.
Come se non bastasse il sito in tutto ciò cerca di installare tramite un controllo ActiveX un GENUINE SOFTWARE UPDATE LIMITED che è tutto un programma.. 😉 Gli ultimi dubbi (se ancora ce ne fossero) ce li toglie il WHOIS del sito che ci svela che il sito è stato registrato da
Name: PROLAT
ContactID: PROL20-ITNIC
Address: zip: LV-5400
Nationality: DE
Phone: +49.1633138006 (anche se non conoscete il tedesco sapete cosa dirgli al telefono..;)
Name: Bojarovs Aleksejs (Il nome dell’amministratore)
ContactID: BA3396-ITNIC
Address: street: Grodnas 42/72 (fategli una visitina:)
zip: LV-5400
city: Daugavpils DE
Phone: +49.1633138006
Email: prolat@mail.com
E vai a vedere il suddetto signore è anche l’amministratore di moltissimi altri siti che utilizzano questo genere di trappola.
Grossomodo i siti clone, o simil tali, vengono strutturati tutti su questa falsariga utilizzando, quindi, dei messaggi subdoli e le somiglianze con prodotti più noti e affidabili. La legge ancora una volta si fa trovare impreparata davanti a questi cyber criminali (quelli veri e non chi scarica mp3..) con tanto di nome e cognome. Comunque, sebbene la registrazione di un sito con lettere simili a quelle di un marchio registrato non sia perseguibile dalla legge è possibile comunque per tutti i detentori dei diritti del marchio richiedere e probabilmente ottenere la riassegnazione del nome a dominio tramite richiesta al NIC ovvero all’Autorithy Italiana per le registraziioni a dominio .it (ccTLD .it Registry), responsabile dell’assegnazione dei nomi a dominio nel country code Top Level Domain “it”.
Fateli neri! E attenti noi siamo TRACKBACK e non trickbec o tracbec, del network TUTTOGRATIS che, è sempre bene precisarlo, non ha nessuna relazione con tyttogratis 😉
I commenti sono chiusi.