Spamhaus: i domini più utilizzati da spammer e truffatori

Spamhaus logo

Spamhaus, progetto avviato nel 1998 che si occupa di monitorare lo spam e minacce informatiche correlate (phishing, botnet, malware), ha diffuso gli ultimi dati riguardanti la top10 delle estensioni preferite dai malintenzionati – pratica che gli addetti ai lavori chiamano domain abuse.

Il quadro che emerge dalla consultazione dei dati è poco incoraggiante e chiama direttamente in causa i gTLD, ma non solo. Di seguito la tabella pubblicata da Spamhaus:

Spamhaus (giugno 2018)

Fonte: sito ufficiale Spamhaus.

E’ il caso di soffermarsi un attimo sul metodo di rilevazione adottato dall’organizzazione. In primo luogo il numero di domini riportato non equivale alla domain base (tutte le estensioni registrate) dell’estensione ma a quelle classificate come “attive”, ovvero presenti negli email feed e relativo traffico DNS. In secondo luogo il badness index è calcolato dividendo il numero di domini identificati (abused) per il numero di domini attivi.

Come osservato dagli analisti, sarebbero gli stessi Registri e registrar ad alimentare il fenomeno del domain abuse:

I Registri TLD che consentono ai registrar di vendere elevati volumi di domini a spammer professionisti ed operatori malware aiutano ed agevolano la piaga dell’abuse su Internet. Alcuni registrar e reseller vendono consapevolmente, per profitto, elevati volumi di domini a questi soggetti [così come] molti Registri non si impegnano abbastanza per limitare o bloccare questo rifornimento infinito di domini.

La popolarità dei gTLD secondo B. Krebs

Brian Krebs, giornalista ed investigatore specializzato in sicurezza online (il blog fu colpito a settembre 2016 da un attacco DDoS record, circa 620gbps), ha fornito una personale rilettura della lista Spamhaus riconoscendo nei gTLD lo strumento ideale per i malintenzionati:

Attualmente esistono 1500 TLD [TLD classici + gTLD ndr] ma centinaia di questi sono stati introdotti negli ultimi anni. [L’ICANN lanciò i nuovi TLD] per rispondere alle necessità degli advertiser e degli speculatori – nonostante gli esperti di sicurezza avessero avvertito [l’ICANN] che un assalto di nuovi e molto più convenienti TLD sarebbe stata una manna dal cielo per spammer e scammer [truffatori ndr].

E’ per questo motivo che la lista Spamhaus è dominata dai gTLD, suggerisce indirettamente. In particolare le estensioni delle top5 oscillano tra i 48 cent ed 1 dollaro, rendendole ideali per qualsiasi attività illegale online.

Krebs coglie l’occasione per confrontare i registrar associati ai domini della lista Spamhaus con quelli della lista elaborata da Symantech (probabilmente nota per il software antivirus Norton). Tra i registrar più ricorrenti figurano AlpNames, FranceDNS e Namecheap con il cui CEO il giornalista ha avuto anche modo di scambiare alcune battute.

Perché il nome della vostra compagnia compare così di frequente nella lista, domanda senza mezzi termini Krebs. La risposta del CEO è perfetta nell’aggirare il problema: per il numero uno di NameCheap è errato definire la strategia della compagnia come “mirata” a monopolizzare un segmento di mercato indubbiamente redditizio. L’obiettivo di NameCheap è unicamente quello di fornire i migliori prezzi ai proprio clienti. Ritoccare i listini “verso l’alto” sarebbe un torto per i clienti onesti – che pagherebbero per la condotta deprecabile di “pochi” – ed innalzerebbe delle barriere discriminatorie.

Sebbene il problema, a livello globale, resti quindi ben lontano dall’essere risolto, uno strumento per rendere più sicura la navigazione degli utenti esisterebbe, conclude Krebs. OpenDNS di Cisco, che consente ad esempio di utilizzare fino a 30 filtri per gestire il traffico e bloccare l’apertura di qualsiasi dominio legato ad un determinato TLD, potrebbe essere un buon esempio.

Del resto, osserva ironicamente, quante persone andrebbero di personale iniziativa a visitare un sito registrato con il TLD del Gabon (.ga)?

Fonti: 1, 2