E’ appena iniziato il nuovo anno e bisogna fare molta attenzione ai ‘bad guy’, che utilizzeranno a proprio favore ogni evento, sia di natura positiva che negativa
Ad esempio, il recente disastro meteorologico che ha colpito la costa est degli Stati Uniti è stato sfruttato per cercare e ottenere informazioni che potrebbero essere usate per furti di identità e di denaro a famiglie o amici preoccupati.
All’inizio del nuovo anno e in particolare a gennaio, le aziende cercano di svuotare i propri magazzini, abbassando i prezzi per invogliare all’acquisto. Il desiderio di fare un buon affare non è sconosciuto ai cyber criminali – sono consapevoli, infatti, che le persone potrebbero andare a vedere un’offerta che sembra ‘troppo bella per essere vera’. I costi associati ai siti Web fasulli sono minimi rispetto al gioco dei numeri che praticano i cyber criminali; i ‘cattivi ragazzi’ predispongono un’ampia rete e chiunque potrebbe essere la vittima del giorno.
E’ possibile analizzare questo aspetto attraverso un esempio. Websense ThreatSeeker network ha rilevato un sito fasullo Swarovski (nome del famoso produttore di gioielli in cristallo).
Il sito hxxp://www.swarovskisale.co/ finge di vendere gioielli Swarovski a prezzo scontato. Il primo indizio che fa sospettare che non si tratti del sito ufficiale è il Top Level Domani .co. A causa della similitudine con il TLP .com è molto diffuso tra i criminali informatici, anche se il TLD .co è assegnato alla Colombia.
Le policy che regolano la registrazione del TLD .co consentono a tutte le persone o enti che non hanno un domicilio in Colombia di registrare un dominio .co. E’ stata effettuata una ricerca all’interno del database dei Security Labs per verificare se questo brand name era già stato sfruttato e sono emersi alcuni risultati. Ulteriori analisi dei record di chi effettuata le registrazioni hanno rivelato un filo conduttore comune tra i risultati: i siti sono stati registrati a un soggetto comune.
I dettagli della registrazione sembrano essere un testo casuale, mentre l’indirizzo email segue l’esempio indicato di seguito: louisvuitton563@hotmail.com. Utilizzando questa informazione, la ricerca Websense Whois DB ha rscontrato più di 1500 siti Web che seguono questa stessa modalità e/o comprendono gli stessi dettagli di registrazione.
Di seguito alcuni esempi:
mulberryorderonline.com
nikenfljerseyspro.com
nikenfloutlet.com
taschenlouisvuitton-de.info
uggbootssoutlettonline.com
prada-fr.info
abercrombies-fra.info
abercrombies-fre.info
Nel momento in cui è stato scritto questo blog, la maggioranza degli esempi elencati sopra erano contenuti in GoDaddy e registrati nell’ottobre 2012. Probabilmente questi siti saranno usati in futuro per campagne di spam o phishing.
In conclusione, il vecchio detto caveat emptor può essere ancora applicato anche nel mondo degli acquisti virtuali. Essere consapevoli quando si è online: se sembra troppo bello per essere vero probabilmente è così. Websense contribuisce a garantire la massima protezione contro questi siti malevoli. I Websense Security Labs lavorano costantemente per portare avanti questo tipo di ricerche e proteggere i clienti.