Oggi Internet rappresenta uno dei principali canali attraverso cui vengono condotti gli attacchi informatici. Sempre più spesso gli utenti, talvolta senza rendersene conto, vengono spinti a cliccare su link apparentemente legittimi ma che in realtà rimandano a siti web malevoli. Lo scopo di questi attacchi è sottrarre dati sensibili, infettare i dispositivi con malware o eseguire codice dannoso sul dispositivo della vittima.

Tra le tecniche più diffuse utilizzate per trarre in inganno persone e sistemi di sicurezza c’è quella del malformed URL: link falsi costruiti ad arte per assomigliare agli indirizzi di siti legittimi, progettati per eludere i controlli e ingannare la vittima.

In questo articolo, gli esperti di Cyberment illustrano il funzionamento di un attacco basato su malformed URL e le principali misure di difesa da adottare per ridurre il rischio di compromissione e proteggersi.

Cos’è un attacco malformed URL

«Ogni indirizzo URL è composto da cinque elementi fondamentali, che sono:

  • Schema: è il protocollo usato dalla risorsa (http, https, ftp, mailto, git).
  • Host: il dominio o l’indirizzo IP che ospita la risorsa (es. www.cyberment.it).
  • Porta: opzionale (es. :80 o :443), viene indicata solo se si utilizza una porta diversa da quella predefinita.
  • Percorso: indica la posizione della risorsa sul server (/cartella/file). Anche questo elemento è opzionale.
  • Stringa di query: è una sequenza di parametri utilizzati per trasmettere dati al server (es. ?id=123&token=…).

I cybercriminali sfruttano le differenze nei meccanismi di interpretazione (parsing) degli URL da parte di browser, server e strumenti di analisi. Inseriscono alterazioni minime e apparentemente innocue nella stringa, così che un filtro di sicurezza le ignori, ma il browser le interpreti in modo diverso. Ad esempio, un sito autentico come www.cyberment.it può essere camuffato in www.cybermen1.it, dove la lettera “t” è sostituita dal numero “1“. Il link falso appare simile a quello vero, ma conduce a un dominio controllato dall’attaccante.

In molti casi, i cybercriminali utilizzano anche servizi di abbreviazione degli URL, come bit.ly, per nascondere l’indirizzo reale e ingannare l’utente o bypassare i controlli automatici.

Impatto dell’attacco malformed URL

Un indirizzo URL malformato permette ai cybercriminali di eseguire varie operazioni dannose, tra cui:

  • Furto di credenziali. La vittima inserisce username e password su una pagina fraudolenta, quasi indistinguibile da quella reale.
  • Diffusione di malware. Il link porta al download o all’esecuzione di software dannosi, come trojan, ransomware o spyware.
  • Esfiltrare dati sensibili. L’URL può dare accesso a file, email o contenuti riservati, che vengono trasferiti verso server remoti controllati dagli attaccanti.
  • Eseguire codice malevolo. Alcuni URL possono veicolare payload JavaScript che vengono eseguiti nel browser della vittima. In tal modo si realizza un attacco di cross-site scripting (XSS) che può rubare cookie o compiere azioni a nome dell’utente.
  • Sovraccaricare i sistemi. URL o header eccessivamente lunghi richiedono tempo di parsing e memoria aggiuntiva. Ciò provoca malfunzionamenti e denial of service.

Le indagini di Great Horn

Il team di cybersecurity di GreatHorn ha scoperto una campagna di e-mail che sfruttava indirizzi URL con prefisso malformato. Individuata per la prima volta nell’ottobre 2020, la campagna ha registrato un picco tra la prima settimana di gennaio e la prima di febbraio 2021, con un incremento del 6% nel volume degli attacchi.

La tecnica impiegata era semplice, ma efficace. Invece di utilizzare il classico schema http://, i messaggi contenevano URL scritti come http:/\. Questa piccola alterazione era sufficiente a confondere sia gli scanner automatici, che gli utenti. Molti sistemi di sicurezza basano le loro analisi su pattern noti, reputazione dei domini e URL normalizzati. I prefissi malformati sfuggivano a questi controlli, passando inosservati. Anche per l’occhio umano la differenza era poco evidente, soprattutto in un contesto dove si tende a cliccare rapidamente.

Le organizzazioni prese di mira appartenevano in particolare ai seguenti settori:

  • Industria farmaceutica;
  • Servizi di credito;
  • Appalti generali e gestione dei cantieri;
  • Servizi di telecomunicazione.

Le prime versioni dell’attacco imitavano un servizio di voicemail via e-mail per ingannare gli utenti. In seguito, si è osservata una maggiore varietà nel testo del messaggio e negli inviti all’azione. Alcuni esempi ricorrenti includevano:

  • Nome visualizzato contraffatto. Il mittente appariva come il sistema interno dell’azienda, pur provenendo da un indirizzo esterno.
  • Mittente insolito. I messaggi venivano inviati da indirizzi o domini non precedentemente associati alla vittima, rendendo più difficile il rilevamento.
  • Link sospetto. Il collegamento malevolo era nascosto dietro un dominio apparentemente legittimo, rendendo più difficile individuarne la pericolosità.
  • Senso di urgenza. Oggetto e contenuto del messaggio spingevano l’utente ad agire in fretta, aumentando le possibilità di cliccare sul link malevolo.

Prevenzione e difesa

Per proteggersi dagli attacchi basati su malformed URL e da altre minacce simili, è fondamentale adottare comportamenti prudenti durante la navigazione in rete. A questo scopo, si raccomanda di seguire le seguenti buone pratiche di sicurezza.

  • Verificare sempre l’URL.

Controllare che non contenga errori di ortografia, caratteri sostituiti o altri dettagli visivi anomali.

  • Ispezionare i link prima di cliccare.

Posizionare il cursore del mouse sul collegamento per visualizzare l’anteprima della destinazione effettiva. Su smartphone si può tenere premuto il collegamento e sortire lo stesso effetto.

  • Controllare attentamente il mittente delle e-mail.

Non fidarsi del solo nome visualizzato, ma è importante verificare l’indirizzo e-mail completo.

  • Evitare link e allegati sospetti.

Mai aprire link o allegati se non si conosce il mittente o se il contenuto è inaspettato. In caso di dubbio, contattare il mittente tramite canali ufficiali.

  • Espandere gli URL abbreviati.

Utilizzare servizi online per visualizzare la destinazione reale di un link accorciato.

  • Attivare l’autenticazione a più fattori (MFA).

Anche in caso di furto delle credenziali, l’MFA può impedire l’accesso non autorizzato ai propri account.

  • Riconoscere i segnali di siti fraudolenti.

Un sito che presenta layout anomalo, testi incoerenti o richieste insolite, è sospetto. In questo caso, mai proseguire e mai fornire informazioni.

Se l’URL appare ambiguo o non corrisponde al sito atteso, oppure se la pagina caricata presenta elementi visibilmente anomali, è bene chiuderla subito e segnalarla alle autorità competenti. In definitiva, mantenere un atteggiamento vigile è il modo più efficace per evitare truffe e perdite di dati. Spesso basta un solo sguardo attento per evitare un attacco.»

https://cyberment.it/cyber-attacchi/malformed-url-difendersi-link-malevoli/

Facebook
Facebook
fb-share-icon
Twitter
Visit Us
Tweet
LinkedIn
Share
YOUTUBE

Articoli Correlati: