La notizia, riportata lo scorso 11 febbraio da ZDnet, è rilevante anche per noi che ci occupiamo di email perché i domini "ingannevoli" vengono utilizzati molto anche nel mondo email, in particolare dai gestori di spamtrap, ma non solo.

Innanzitutto chiariamo cosa intendiamo per dominio ingannevole: in inglese vengono in genere chiamati "lookalike domains", "typo domains" o "mispelled domains" e sono domini che possono avere scopi molto diversi tra loro, spesso, ma non necessariamente, malevoli.

Alcuni sono pensati per intercettare l'errore di battitura, altri per sembrare simili alla vista:

• per esempio l'ultima lettera di questo dominio gmaiI.com è una i maiuscola che però, in funzione del carattere utilizzato per la sua visualizzazione, sembra una L e quindi gmaii.com potrebbe essere usato come dominio ingannevole per far credere ad un utente che un certo indirizzo email sul quale sta per cliccare o dal quale ha ricevuto una email sia un indirizzo gmail.com reale, quando invece è sostanzialmente un indirizzo completamente differente.
• oppure gmali.com o gmail.co potrebbero fare affidamento al fatto che molto frequentemente le persone sbagliano a digitare gmail.com e invertono due lettere o non toccano abbastanza la m finale lasciando l'indirizzo incompleto. Mettersi in ascolto per il traffico email che arriva su tali domini potrebbe permettere di intercettare informazioni destinate ad utenti veri e quindi raccogliere dati.

Tornando alla notizia i domini oggetto del contendere sono utilizzati sicuramente in maniera maliziosa/ingannevole ma non realmente malevole.

Proofpoint, grossa azienda californiana specializzata in sicurezza e in particolar modo in sicurezza email (negli ultimi anni ha acquisito Sendmail, Return Path, Cloudmark e tante altre aziende del settore), registra domini che assomigliano a quelli di Facebook e di Instagram ( ad esempio facbook-login.com, facbook-login.net, instagrarn.ai, instagrarn.net, and instagrarn.org ) al fine di poter mettere in piedi dei finti attacchi verso i propri clienti (o meglio, i dipendenti dei propri clienti) per verificarne l'adeguatezza in termini di sicurezza. Utilizzando domini che ad un occhio non troppo attento possono seambrare "originali" e pratiche tipiche del phishing cerca così di far cadere il destinatario nell'inganno così da potergli dimostrare quanto sia facile cadere in questi errori e sensibilizzarlo su come prevenire l'attacco quando arriverà da un mittente realmente malevolo.

Facebook però ha fatto ricorso presso l'ICANN (l'autorità che assegna i domini con estensione .com, .net, .org, etc) sostenendo che quei domini assomigliano ai propri brand e quindi spettino a Facebook e sembra che abbia vinto questo suo ricorso al quale però ora Proofpoint sta appellandosi sostenendo che l'UDRP (la procedura di gestione della disputa) sia pensata per impedire le registrazioni fraudolente (typosquatting, cypersquatting) e quindi non dovrebbe essere applicata a registrazioni senza scopo malevolo come le loro.

Sarà molto interessante vedere come andrà a finire: da un lato è comprensibile che Facebook cerchi in tutti i modi di tutelare il proprio marchio, ma dall'altro le operazioni di Proofpoint in questo caso sembrano tutelare non solamente i clienti di Proofpoint rendendoli più consapevoli e attenti agli attacchi di phishing, ma anche Facebook stessa visto che quei clienti educati da Proofpoint impareranno a riconoscere le email di Facebook da quelle di attori malevoli.

Come dicevamo prima, questi domini, in particolare quelli "scritti male", sono molto utilizzati da gestori di spamtrap: si tratta di una pratica controversa ma piuttosto diffusa per cui chi compra questi domini cerca di individuare chiunque faccia invii massivi ad indirizzi email dai quali non abbia avuto un consenso "confermato". Consapevoli che una piccola percentuale di tutte le richieste di iscrizione verrà scritta male succederà quindi che se il modulo di iscrizione non prevede la conferma dell'iscrizione via email allora il mittente comincerà a mandare le newsletter a queste caselle, comunemente chiamate typotraps (come abbiamo visto nell'articolo sulle spamtraps): e questo è uno dei tanti motivi per cui bisognerebbe sempre tutelarsi usando il Confirmed Opt-in invece del Single Opt-in.

Il risultato della causa di Proofpoint potrebbe quindi influire sul futuro di queste spamtrap.

Per chiudere ecco a voi un elenco dei domini "scritti male" che più spesso vediamo negli indirizzi di chi cerca di iscriversi ad una newsletter:

gmai.com, ibero.it, gmail.co, yhaoo.it, gimail.com, gamil.com, gmal.com, gmil.com, g.mail.com, virglio.it, libero.com, gmial.com, homail.it, gnail.com, otmail.it, faswebnet.it, hotmail.co, lbero.it, yaoo.it, vigilio.it, iibero.it, hotmai.com, yahho.it, virgiglio.it, hotmal.it, homail.com, virgilo.it, iscali.it, viriglio.it, gmaill.com, libero.ir, libeto.it, fastewebnet.it, gmaii.com, gamail.com, llibero.it, yaho.it, virigilio.it, altavista.it, fastwbnet.it, hotamil.it, liero.it, msm.com, gmail.cm, icluod.com, yhaoo.com, gmail.ru, virgili.it, hotmal.com, jahoo.it, fatwebnet.it, otmail.com, yaooh.it, gmali.com, hotamail.it, ticali.it, fastwenet.it, hormail.com, linero.it, gmail.om, yahoo.co, altavista.net, hotamil.com, wappi.com, htmail.com, catamail.com, htomail.it, hotmial.it, yahoo.us, hotmil.com, autlook.it, iclaud.com, hotmali.it, gmail.fr, fastwebenet.it, liberp.it, hitmail.com, gmaiil.com, gmail.com.com, yahooo.it, gmaul.com, hotnail.it, hoymail.it, livero.it, interfee.it, gmailo.com, hotmail.ir, tiscalit.it, uahoo.it, exite.it, hotmial.com, tiscai.it, hitmail.it, emai.it, lubero.it, rgilio.it, hotmeil.it, gimail.it.

Se non si usa il confirmed opt-in tutti gli utenti che sbagliano ad inserire il proprio indirizzo saranno utenti persi. Se invece si usa il confirmed opt-in quando gli viene detto che dovranno cliccare l'email ricevuta e non riceveranno tale email magari avremo qualche possibilità che si rendano conto del problema e ritentino l'iscrizione con l'indirizzo corretto.