Impersonificazione del dominio

L'impersonificazione del dominio è spesso utilizzata dagli hacker negli attacchi di furto d'identità o di dirottamento della conversazione. Gli attaccanti tentano di impersonare il dominio di un'azienda legittima utilizzando tecniche come il typosquatting, sostituendo una o più lettere in un dominio email legittimo con una lettera simile o aggiungendo una lettera difficile da notare al dominio email legittimo. In preparazione per l'attacco, i criminali informatici registrano o acquistano il dominio di impersonificazione.

L'impersonificazione del dominio è un attacco ad altissimo impatto. L'attacco si basa sul fatto che le persone non prestano abbastanza attenzione a ogni lettera nel dominio e-mail. Può essere facile non notare le sottili differenze tra il dominio e-mail legittimo e il dominio e-mail impersonato. Ad esempio, un hacker che cerca di impersonificare barracuda.com potrebbe utilizzare uno di questi URL molto simili:

• barracada.com
• barracuda.com
• barrracuda.com

Un attaccante può anche modificare il Top-Level-Domain (TLD), ad esempio, utilizzando .net invece di .com o .co invece di .com

• barracuda.net
• barracuda.co

Gli hacker investono tempo e denaro per registrare domini di impersonificazione. Gli attacchi che originano da tali domini sono solitamente progettati con cura per evitare il rilevamento e massimizzare i guadagni per l'attaccante.

Gli attacchi di impersonificazione di dominio vengono spesso utilizzati in combinazione con il furto di account e il dirottamento delle conversazioni. Quando si verifica il furto di account, l'attaccante ha accesso alle conversazioni interne ed esterne tra dipendenti, partner e clienti. Utilizzando informazioni da account compromessi, gli attaccanti possono creare messaggi convincenti da domini abilmente impersonati per ingannare le loro vittime a scopo di guadagno monetario. Ad esempio, potrebbero impersonare un venditore e inviare una richiesta di modifica dei dettagli del conto bancario del venditore al reparto contabilità fornitori.

L'impersonificazione del dominio esiste da un po' di tempo. Il volume è sempre stato basso, ma l'impatto e i costi sono elevati. L'attacco è complicato e richiede molte risorse per essere implementato. L'hacker deve acquistare il dominio che impersonifica il dominio legittimo. Questi domini possono essere costosi, ma quando eseguiti con attenzione, gli attacchi di impersonificazione del dominio possono produrre alti ritorni sugli investimenti per l'hacker.

La sfida più grande con l'impersonificazione del dominio è rilevare con precisione i domini typosquattati e differenziare un tentativo di furto d'identità da un sito web reale.

Innanzitutto, assicurati che l'impersonificazione del dominio faccia parte del tuo training per la sensibilizzazione sulla sicurezza. Garantire che i tuoi dipendenti siano in grado di riconoscere questi attacchi contribuirà notevolmente a proteggere la tua organizzazione da essi.

In secondo luogo, mentre i truffatori adattano le loro tattiche per eludere gateway e filtri, è importante implementare una tecnologia di difesa delle caselle di posta basata su API che utilizza intelligenza artificiale per rilevare attacchi altamente mirati come l'impersonificazione di dominio. Utilizza dati di comunicazione storici per associare conversazioni specifiche, richieste e individui a domini email specifici. Quindi, quando un fornitore invia una richiesta insolita da un dominio errato, la difesa delle caselle di posta la rileva e la blocca.

Terzo, monitora le nuove registrazioni di domini per i domini typosquatted per assicurarti che la tua organizzazione non venga utilizzata come piattaforma di lancio per tali attacchi. Molte organizzazioni scelgono anche di acquistare domini strettamente correlati al proprio per evitare potenziali frodi.

E infine, aiuta i dipendenti a evitare errori costosi creando linee guida e applicando procedure per confermare tutte le richieste email e i trasferimenti di denaro.