Dal primo Domain Fraud Report di Proofpoint, che illustra i principali trend e le tecniche utilizzate dal cybercrime in ambito di frode del dominio risulta che tra il Q1 e il Q4 2018, le registrazioni di domini pericolosi sono aumentate dell’11%.
Quasi tutti i domini fraudolenti rilevati da Proofpoint sono rimasti attivi e pronti ad essere sfruttati per un attacco, e oltre il 90% era associato a un server operativo.
Di questi, più del 15% possiede registrazioni Mail Exchanger (MX), con informazioni relative all’invio e alla ricezione di email.
Uno su quattro è dotato anche di certificati di sicurezza, valore molto più alto di quanto non accada solitamente nel panorama dei domini aggregati, e molti utenti li confondono, considerandoli legittimi e sicuri.
Il report fornisce un’analisi completa dei dati raccolti da Proofpoint Active Domains Database, che include più di 350 milioni di domini e rappresenta virtualmente tutti i domini del web, in un periodo di dodici mesi.
I domini pericolosi sfruttano molti degli stessi registrar, server web ed estensioni (TLD) dei domini legittimi per appropriarsi dell’identità di un’azienda e manipolare gli utenti.
Questi fattori, uniti all’elevata proporzione di server web attivi, di cui molti con certificati SSL validi, aumentano la percezione di legittimità dei domini fittizi, aumentando di fatto la possibilità di attacchi potenziali, tra cui richiesta di effettuare bonifici, campagne phishing, commercializzazione di prodotti contraffatti e altre truffe.
Difesa del brand
Secondo il Domain Fraud Report di ProofPoint più dell’85% delle aziende retail ha rilevato siti che rivendevano versioni contraffatte dei propri prodotti.
In media, ogni brand ha rilevato oltre 200 casi del genere. Inoltre, a differenza di altri settori, la maggior parte dei domini di rivendita possedeva certificati di sicurezza, apparendo legittimo agli occhi dei clienti.
Il 96% delle aziende ha individuato la copia esatta del proprio sito, ma con un’estensione differente (ad esempio “.net” invece di .com”) e il 76% invece aveva domini “lookalike” che imitavano quello ufficiale. In questo, sono state coinvolte aziende di molti settori e paesi.
I domini contraffatti utilizzano le email per attacchi altamente mirati. Per il 94% delle aziende analizzate, Proofpoint ha identificato almeno un dominio pericoloso che ne ricrea il brand e invia email.
Molti di questi domini inviano un numero limitato di email, comportamento tipico associato ad attacchi mirati e basati su tecniche di ingegneria sociale. Gli aggressori che invece fingono di appartenere a note aziende retail (in particolare quelle caratterizzate da un ecosistema complesso), e inviano quantità di messaggi elevati, appartengono alla categoria di criminali che desiderano attacchi su larga scala, colpendo clienti e partner.
Novità di mercato, come l’introduzione di estensioni aggiuntive, creano nuove opportunità: Proofpoint ha rilevato che nel 2018, grazie all’introduzione di nuove estensioni, come .app e .icu, gli hacker hanno potuto registrare finti domain molto simili ai reali e legittimi “.com”.
Per identificare chi si impegna della occupazione di domini e dell’invio di campagne di phishing e fermare le loro attività pericolose, Proofpoint mette a disposizione Proofpoint Digital Risk Protection, soluzione dedicata esplicitamente alla domain protection.
Con machine learning e intelligenza artificiale, analizza una grande quantità di dati relative al dominio, per scoprire ogni eventuale attività fraudolenta. Le aziende vengono avvisate in tempo reale tramite alert della scadenza di dominio e certificati SLL, per aiutarle a mantenere un livello di sicurezza elevato.