Settimana 13: Più che un sito Internet vuoto: il modello aziendale con i domini abbandonati

Service navigation

Ricerca

Navigazione

Settimana 13: Più che un sito Internet vuoto: il modello aziendale con i domini abbandonati

04.04.2023 - Un sito Internet vuoto può nascondere più di quel che si può presupporre a prima vista. Lo dimostra il caso segnalato all’NCSC la scorsa settimana. Un Javascript su un sito web vuoto reindirizzava il visitatore a una pagina Internet sospetta, ma solo se veniva aperta da un motore di ricerca o da social media. I truffatori si appropriano sistematicamente di domini abbandonati, soprattutto di quelli che godono di una reputazione affidabile e quindi di un buon posizionamento sui motori di ricerca, e provano a reindirizzarli in modo mirato verso siti pubblicitari sospetti, per poi fare soldi con vari stratagemmi.

Domini abbandonati presi di mira dai truffatori

Molti proprietari di domini sono a conoscenza del problema: si possiedono domini che in realtà non servono più e si sta pensando di disdirne il contratto perché generano tasse annuali. Tuttavia, solo pochi pensano al fatto che, dopo la cessazione, chiunque può registrare nuovamente il dominio e inserirvi contenuti a piacimento. In passato, l’NCSC ha ricevuto ripetutamente segnalazioni, in cui ex proprietari di domini si lamentavano del fatto che shop online sospetti o siti web con contenuti per adulti venivano in seguito visualizzati sotto l’URL del vecchio sito Internet. I domini principalmente presi di mira sono quelli che hanno un gruppo di visitatori piccolo, ma comunque di particolare interesse per gli aggressori. In questo modo, l’aggressore sfrutta il posizionamento ottenuto sui motori di ricerca dal sito Internet originale. Se viene inserito un termine di ricerca corrispondente, non è il dominio originale a comparire nel posizionamento del motore di ricerca, ma il dominio che è stato riutilizzato con i nuovi contenuti dall’aggressore.

Anche la scorsa settimana sono stati segnalati all’NCSC alcuni siti Internet presumibilmente fraudolenti. È sorprendente che tutti i domini siano stati registrati presso la stessa azienda e che la registrazione iniziale risalga a un po’ di tempo fa. Anche in questo caso si può presumere quindi che la reputazione dei siti web venga utilizzata per pubblicizzare prodotti a scopi fraudolenti. In effetti, si è subito scoperto che tutti i domini avevano recentemente cambiato proprietario.

Solo un sito Internet vuoto dopo la sua apertura o vi è dell’altro?

A prima vista, dopo l’apertura diretta del sito web sospetto, quest’ultimo non mostrava nulla di strano, solo una pagina vuota. Un’analisi più approfondita dell’NCSC ha rivelato che il sito nasconde ben altro. Se si esamina il codice sorgente, si trovano comandi Javascript che controllano il cosiddetto «referrer», ossia verificano quale link è stato utilizzato per aprire la pagina. Se si accede al sito Internet tramite un comune motore di ricerca o le pagine dei social media, la vittima viene reindirizzata a un sito web appositamente creato. Se la pagina viene aperta da un dominio non elencato nello script o se l’URL viene inserito direttamente nella barra degli indirizzi del browser, non viene visualizzato nulla, ovvero la pagina è vuota.

Javascript, che reindirizza alla sottopagina solo quando questa viene aperta mediante motori di ricerca e pagine dei social media. I siti a cui si viene reindirizzati sono elencati nello script.
Javascript, che reindirizza alla sottopagina solo quando questa viene aperta mediante motori di ricerca e pagine dei social media. I siti a cui si viene reindirizzati sono elencati nello script.

Ripartizione dei compiti e modello aziendale «Inoltro»

Il sito Internet appositamente creato contiene un inoltro a una pagina web che pubblicizza un’offerta di investimento sospetta. In questo modo si cerca di attirare il maggior numero possibile di potenziali vittime sul sito Internet e di indurle a fare un investimento «irresistibile». Sulla stessa pagina pubblicitaria si fa riferimento al programma televisivo «Höhle der Löwen» e si afferma che il metodo di investimento è talmente valido che l’emittente non è autorizzata a diffondere la trasmissione.

Pubblicità per offerte di investimento sospette. Spesso si fa riferimento al programma «Höhle der Löwen». Nel link è visibile il numero del sito Internet da cui è stato effettuato l’inoltro.
Pubblicità per offerte di investimento sospette. Spesso si fa riferimento al programma «Höhle der Löwen». Nel link è visibile il numero del sito Internet da cui è stato effettuato l’inoltro.

Il link sul «sito pubblicitario» rivela il modello aziendale: vi si trova il codice del sito web, dal quale il visitatore è stato reindirizzato. Gli «inserzionisti» sleali possono così determinare quale pagina ha generato il clic e remunerarla di conseguenza. L’attuale proprietario del dominio precedentemente abbandonato cerca quindi di recuperare la tassa di registrazione e di guadagnare il più possibile.

La procedura esemplifica la ripartizione dei compiti: mentre un gruppo di lavoro crea i siti pubblicitari con offerte di investimento sospette, altri cercano di generare il maggior numero possibile di clic a queste pagine. La truffa dell’investimento vera e propria viene poi messa in atto da un altro gruppo.

Raccomandazioni:

  • Siate consapevoli che un dominio (il nome registrato del sito Internet) abbandonato può essere riservato da altre persone ed eventualmente essere sfruttato per scopi fraudolenti.

  • Se intendete abbandonare un dominio, controllate prima se rientra in un determinato ranking nei motori di ricerca. Tenetelo per un po’ di tempo senza contenuti: il dominio perderà automaticamente posizioni nel ranking e diverrà meno interessante.

Numeri e statistiche attuali

Segnalazioni della scorsa settimana per categoria:

Numeri attuali

Ultima modifica 04.04.2023

Inizio pagina

https://www.ncsc.admin.ch/content/ncsc/it/home/aktuell/im-fokus/2023/wochenrueckblick_13.html