Scopri come i domini possono essere vulnerabili agli attacchi informatici e come proteggere le tue risorse online.
Recenti indagini rivelano che oltre un milione di nomi di dominio, inclusi quelli registrati da grandi aziende e società di protezione dei marchi, sono a rischio di attacco da parte di criminali informatici, grazie a debolezze nell’autenticazione presso diversi provider di hosting e registrazione domini. Questo fenomeno avviene per la mancanza di verifiche adeguate da parte di alcuni fornitori di servizi, che consentono a chiunque di rivendicare il controllo su un dominio senza necessità di accedere all’account originale.
Il Domain Name System (DNS) è assimilabile a un elenco telefonico del web. Esso traduce i nomi di dominio, come example.com, in indirizzi numerici comprensibili ai computer. Quando un utente registra un dominio, il registrar fornisce una serie di record DNS, responsabili dell’indirizzamento del traffico verso il server di hosting associato. Tuttavia, se questi record sono configurati in modo errato, non riescono a risolvere i collegamenti richiesti e il dominio può diventare “lame”, esponendosi a potenziali attacchi.
Ciò che rende questi domini vulnerabili è l’esistenza di meccanismi che permettono di rivendicare il controllo su un dominio, bypassando il legittimo proprietario. Questo problema non è nuovo; già nel 2019, sono state segnalate tecniche simili utilizzate per appropriasi di domini registrati presso GoDaddy, con successivi abusi come minacce e truffe tramite email. Le vulnerabilità continuano a persistere anche oggi, come confermato da ricerche congiunte di Infoblox ed Eclypsium.
UN TARGET FACILE
Nella loro analisi, Infoblox ha evidenziato che alcuni gruppi di criminali informatici stanno sfruttando i “domini in balia” come sistemi di distribuzione del traffico, mascherando la vera origine del traffico web e indirizzando gli utenti verso siti dannosi o fraudulent. Tali domini possono essere utilizzati anche per impersonare marchi affidabili, sfruttando così la loro reputazione per truffe e attacchi di phishing.
Stime recenti suggeriscono che ci siano attualmente circa un milione di domini vulnerabili, con almeno 30.000 di essi già compromessi per uso malevolo dal 2019. L’analisi ha rivelato che questi domini sono spesso registrati da società di protezione marchi, specializzate nella registrazione difensiva di domini per impedire a malintenzionati di appropriarsene.
I ricercatori hanno identificato tre fattori che rendono un dominio particolarmente suscettibile agli attacchi: 1) delega i servizi DNS a un provider differente da quello del registrar; 2) il server DNS autorevole non contiene informazioni sull’indirizzo internet del dominio; 3) il provider DNS è “suscettibile all’attacco”, consentendo a un attaccante di rivendicare il dominio e configurare record DNS senza accesso all’account del legittimo proprietario.
Per conoscere se un provider DNS è vulnerabile, è possibile consultare una lista aggiornata di potenziali exploitabili pubblicata su GitHub. I fornitori di hosting come DigitalOcean sono stati citati tra coloro che non riescono a prevenire efficacemente queste problematiche. Di fronte a tali scoperte, è indispensabile che tutte le parti coinvolte si uniscano per implementare migliori pratiche di autenticazione e gestione dei DNS per prevenire futuri attacchi.
Le società interessate, come Hostinger, stanno già lavorando a soluzioni di verifica basate su record SOA per garantire che i domini appartengano effettivamente ai clienti, con l’implementazione prevista nel prossimo futuro. Tuttavia, continua a pesare la responsabilità sui registranti dei domini, che devono gestire con attenzione le proprie configurazioni per evitare di diventare facile preda per i cibercriminali.