Domain Spoofing

Cos'è Domain Spoofing?

Domain spoofing è una tecnica di cyberattack in cui gli attaccanti impersonano un dominio legittimo per ingannare gli utenti, bypassare i sistemi di sicurezza, o ottenere l'accesso non autorizzato. Questo può comportare intestazioni e-mail di forgiatura, la registrazione di domini simili alla ricerca, o lo sfruttamento di vulnerabilità DNS per reindirizzare il traffico.

Tipi di dominio Spoofing

Email Spoofing

Forging the "From" address in emails da apparire da un dominio di fiducia:

Legitimate:
  From: support@paypal.com
  Actual sender: PayPal's mail servers

Spoofed:
  From: support@paypal.com
  Actual sender: attacker's server
  Without SPF/DKIM/DMARC, appears legitimate

Visualizzazione nome Spoofing

Manipolare il nome di visualizzazione del mittente durante l'utilizzo di una email diversa:

Display: CEO John Smith <john.smith@company.com>
Actual email: attackercontrol@malicious.com
Many email clients show only display name prominently

Lookalike Domain Spoofing

Registrazione di domini che assomigliano a quelli legittimi:

Legitimate: paypal.com
Lookalikes:
  paypa1.com (1 instead of l)
  paypal-secure.com (added word)
  paypai.com (typo)
  paypаl.com (Cyrillic 'а' instead of Latin 'a')

DNS Spoofing (Cache Poisoning)

Corruzione delle cache DNS per reindirizzare il traffico:

User types: bank.com
DNS poisoned: Returns attacker's IP instead of real bank
User arrives at: Fake bank.com (phishing site)
User thinks: They're on real site (URL shows bank.com)

Caller ID Spoofing (VoIP)

Visualizzazione di numeri di telefono falsi (meno rilevanti per i domini ma relativo concetto).

Come funziona lo Spoofing Email

Gap Protocollo SMTP

SMTP (protocollo di posta elettronica) non ha alcuna verifica del mittente incorporato:

SMTP Conversation:
Client: HELO attacker.com
Server: 250 Hello
Client: MAIL FROM: <ceo@victimcompany.com>
Server: 250 OK (accepts without verification)
Client: RCPT TO: <employee@victimcompany.com>
Server: 250 OK
Client: DATA
From: ceo@victimcompany.com
Subject: Urgent wire transfer needed
→ Server delivers it

Nulla in SMTP verifica il mittente realmente controlla victimcompany.com.

Manipolazione della testa

Attaccatori artigianato intestazioni che bypassano i filtri di base:

From: "CEO John Smith" <ceo@legitimate.com>
Reply-To: attacker@malicious.com

User sees trusted sender
Replies go to attacker

Scenari d'attacco dello Spoofing Real-World

Compromesso Business Email (BEC)

1. Attacker researches company structure
2. Spoofs CEO's email to CFO
3. "Urgent wire transfer needed for acquisition"
4. CFO transfers funds thinking it's legitimate
5. Company loses millions

Phishing Campaigns

1. Spoof bank or tech company domain
2. Send emails about "suspicious activity"
3. Link goes to lookalike domain
4. User enters credentials on fake site
5. Attacker steals credentials

Invoice Fraud

1. Attacker spoofs supplier's domain
2. Sends updated invoice with attacker's bank details
3. Victim pays attacker instead of real supplier
4. Legitimate supplier never receives payment

Distribuzione malware

1. Spoof trusted software company
2. Email with "critical security update"
3. Attachment contains malware
4. User trusts "legitimate" sender and opens it

Rilevamento del dominio

Analisi dell'intestazione e-mail

Esaminare intestazioni complete per incongruenze:

From: support@paypal.com
Return-Path: <random@suspicious.com>  ← Red flag
Received: from unknown.net [1.2.3.4]  ← Not PayPal's servers

Real email would have:
Received: from mx.paypal.com [verified PayPal IP]
Return-Path: <support@paypal.com>

SPF/DKIM/DMARC Check

Authentication-Results: recipient.com;
  spf=fail smtp.mailfrom=paypal.com  ← Spoofed
  dkim=none                           ← Not signed
  dmarc=fail                          ← Failed policy

Le email di PayPal legittime passerebbero tutti i controlli.

Ispezione visiva

Cercare differenze sottili:

Real: paypal.com
Fake: paypal-secure.com (extra word)
Fake: paypαl.com (Cyrillic character)
Fake: paypal.co (missing 'm')

Anomalie comportamentali

• Lingua urgente ("Atti ora!", "Trasferisci immediatamente")
• Richieste insolite (CEO che chiede carte regalo)
• Errori di grammatica/spelling
• Richieste di modificare i dettagli di pagamento
• Link a domini non familiari

Prevenire Dominio Spoofing

Autenticazione e-mail (critica)

example.com.    IN    TXT    "v=spf1 include:_spf.google.com -all"

Authorizes which servers can send for your domain

Cryptographically signs outgoing emails
Receivers verify signature using DNS public key
Tampered emails fail verification

_dmarc.example.com.    IN    TXT    "v=DMARC1; p=reject; rua=mailto:dmarc@example.com"

Tells receivers to reject emails that fail SPF/DKIM
Provides reports on spoofing attempts

p=none       Monitor only (start here)
p=quarantine Send failures to spam
p=reject     Block failures completely (goal)

Registrare Domini difensivi

Registrare proattivamente i domini simili a quelli:

Primary: company.com

Register:
Common typos: conpany.com, compamy.com
Different TLDs: company.net, company.org, company.co
Hyphenated: com-pany.com, company-inc.com
Plurals: companies.com

Allora sia:

• Reindirizza al dominio primario
• Parco con pagina informativa
• Uso per scopi legittimi

Monitorare le menzioni di marca

Utilizzare i servizi per rilevare le registrazioni di dominio non autorizzate:

• Google Alerts per le registrazioni di dominio contenenti il nome del marchio
• Certificati Trasparenza logs (monitor per certificati SSL emessi)
• Monitoraggio WHOIS per nuove registrazioni

♪ Tools ♪

• DomainTools
• Sift by Cloudflare
• BrandShield
• Bolster

Formazione dei dipendenti

Formazione di consapevolezza della sicurezza regolare:

• Come identificare le e-mail spoofed
• Verifica richieste sospette tramite canali alternativi
• Non cliccare mai i link in e-mail inaspettate
• Controllare attentamente il dominio del mittente
• Segnala email sospette a IT

Controlli tecnici

p=reject (block spoofed email entirely)

• Scansione di domini simili alla ricerca
• Bandiera email esterne che sembrano interne
• Bloccare gli IP del mittente noti-cattivi

♪Banner Warnings ♪

[EXTERNAL EMAIL] This email originated outside the organization

Controllare e sanitizzare gli URL nelle e-mail prima della consegna.

Consentire solo metodi di invio approvati (nessun-off SMTP).

Tecniche di Spoofing Avanzate

Attacchi di omoglifi

Utilizzando caratteri visivamente simili da diversi alfabeti:

Latin 'a' vs Cyrillic 'а' (U+0430)
Latin 'o' vs Cyrillic 'о' (U+043E)

googlе.com (Latin 'e' replaced with Cyrillic 'е')
Looks identical to: google.com

googlе.com → xn--googl-6nd.com (encoded)
Browsers show: ⚠️ xn--googl-6nd.com

Subdomain Spoofing

Creazione di sottodomini che assomigliano a domini diversi:

legitimate-bank.attacker.com
Appears as: legitimate-bank (subdomain of attacker.com)
Users see: "legitimate-bank" and assume it's safe

#### Man-in-the-Middle with DNS Hijacking

1. Attacker compromises DNS server or router
2. Changes bank.com resolution to attacker's IP
3. Serves fake bank site
4. Uses valid SSL cert (from Let's Encrypt, free)
5. User sees https://bank.com with padlock
6. User thinks it's safe, enters credentials

Aspetti giuridici e regolamentari

Anti-Cybersquatting Consumer Protection Act (ACPA)

La legge degli Stati Uniti vieta la registrazione di domini confusingly simile ai marchi.

Uniform Domain-Name Dispute-Resolution Policy (UDRP)

Politica ICANN per risolvere le controversie sui marchi:

• I proprietari di marchi possono sfidare registrazioni simili
• Processo di arbitrato (più veloce/più veloce di corte)

Criminal Penalties #

Lo spoofing di dominio per frode è perseguitato sotto:

• Wire Fraud Act (U.S.)
• Computer Fraud and Abuse Act (U.S.)
• leggi simili in altre giurisdizioni

Le sanzioni includono multe e prigionia.

Rispondere a Domain Spoofing

Se il tuo dominio è stato svelato

1. Implementare DMARC con p=rigetto

_dmarc.example.com.    TXT    "v=DMARC1; p=reject; rua=mailto:abuse@example.com"

2. Avviso clienti/partner

- Informare sulla campagna di spoofing

- Fornire indicatori (cosa cercare)

- Dare canale di segnalazione

3. *Relazione alle autorità *

- FBI IC3 (U.S.)

- Unità cybercrimine locali

- Gruppo di lavoro anti-fissaggio (apwg.org)

4. Richiesta di ritiro

- Segnala siti di phishing ai fornitori di hosting

- Report ai registrars di dominio

- Utilizzare Google Safe Browsing report

5. "Monitor DMARC"

- Identificare le fonti di spoofing

- Traccia il volume e i modelli di attacco

Se si scopre un dominio simile a uno sguardo

1. # Documento delle prove #

- Proiezioni

- Dati WHOIS

- Intestazioni e-mail

2. Denunce URP (se si possiede un marchio)

3. * Rapporto di abuso regionale *

4. Azione legale (se danno significativo)

Testare le tue difese

Test Email Spoofing Protection

# Send test spoofed email to yourself
swaks --to employee@yourcompany.com \
      --from ceo@yourcompany.com \
      --server test-smtp-server.com \
      --header "Subject: Test Spoofed Email"

# Check if it's delivered or blocked
# Check authentication results in headers

Controllare la configurazione DMARC

dig _dmarc.example.com TXT

# Should return policy (p=reject ideally)
_dmarc.example.com. 300 IN TXT "v=DMARC1; p=reject; rua=mailto:dmarc@example.com"

Verifica SPF e DKIM

# SPF
dig example.com TXT | grep spf

# DKIM (check common selectors)
dig google._domainkey.example.com TXT
dig default._domainkey.example.com TXT

Usa strumenti online

• Controllo sanitario del dominio MXToolbox
• Dmarcian DMARC Inspector
• Google Admin Toolbox Messageheader
• PhishTank (controlla se il tuo dominio è segnalato)

Lo spoofing del dominio è una minaccia seria, ma può essere efficacemente mitigato attraverso una corretta autenticazione, monitoraggio e formazione degli utenti.