Typosquatting e domini homoglyph: l'URL sembra giusto
Security & Privacy

Typosquatting e domini homoglyph: l'URL sembra giusto

Gli attaccanti registrano domini quasi identici all'originale con sosia cirillici, punti che mancano e lettere in più. Come funzionano questi trucchi, perché continuano a fregare la gente e come aprirli in sicurezza.

BROWSER.LOL
19.02.2026
20 min di lettura
Condividi

Lo sviluppatore di un progetto crypto piuttosto noto ha aperto il sito del proprio tool per deployare un nuovo contratto. L'URL sembrava quello di sempre. Anche la pagina. Il wallet si è collegato, ha firmato, e diciannove minuti dopo la cassa del progetto era vuota. A guardare con calma, la «a» latina nel dominio era stata sostituita da una «а» cirillica. Due codepoint con la stessa forma e identità diverse.

Gli attacchi homoglyph e typosquatting sono vettori di phishing a basso costo e ormai industrializzati. L'attaccante registra un dominio indistinguibile da quello legittimo, clona il sito bersaglio con uno scraper e aspetta che qualcuno sbagli a digitare l'URL, clicchi un link in una mail o arrivi da un annuncio fra i risultati di ricerca. La conversione per visitatore è alta proprio perché le vittime non si accorgono affatto di essere state reindirizzate.

Quali trucchi nella barra degli indirizzi funzionano davvero

Cinque righe impilate di stringhe di dominio schematiche, in ognuna un singolo carattere è leggermente diverso da quello sopra

Il typosquatting non è un singolo trucco: è un'intera famiglia. Quattro varianti finiscono per fregare prima o poi quasi tutti.

Homoglyph. Lettere di altri sistemi di scrittura sembrano identiche in molti font: «а» cirillica e «a» latina, «о» cirillica e «o» latina, «ο» greca. Registrate via Punycode sono, tecnicamente, domini diversi disegnati con caratteri visivamente uguali.

Refusi semplici. amazoon.com, gooogle.com, paypa1.com (cifra 1 al posto della l), facebok.com. Chi scrive di fretta finisce su questi domini molto più spesso di quanto i proprietari immaginino. Gli squatter registrano per ogni bersaglio centinaia di varianti.

Sottodominio civetta. apple.com.security-check.xyz o paypal.com.login-ref.ru. L'hostname familiare è in testa, ma il dominio vero è l'ultimo segmento prima del path.

Scambio di TLD. Le aziende registrano il .com e ogni tanto il .net, raramente tutte le TLD rilevanti. Gli attaccanti si prendono .co, .shop, .io o .app e tirano su una copia pixel perfect. Sul cellulare, dove le URL vengono spesso troncate, la TLD non si nota quasi mai.

Come scalano le campagne di typosquatting

Le campagne moderne non sono più artigianali. L'attaccante lancia uno strumento di DNS twisting come dnstwist e in pochi secondi sforna centinaia di varianti plausibili del bersaglio. Registra quello che si trova a prezzo basso. Della clonazione del sito originale si occupa uno scraper che rispecchia HTML, CSS e asset uno a uno, talvolta in diretta sotto forma di reverse proxy.

La variante reverse proxy è particolarmente sgradevole: il sito fasullo mostra lo stesso identico contenuto dell'originale, login form compreso, con tanto di certificato TLS (rilasciato da Let's Encrypt per il dominio fasullo) e perfino sottopagine funzionanti. L'attaccante rilancia al volo i tuoi input al servizio vero. Si chiama adversary-in-the-middle, ed è il motivo per cui il 2FA via SMS o TOTP non lo ferma.

18.000+

nuovi domini lookalike registrati al mese

47%

di questi ospita kit di phishing attivi

9 min

tempo medio fino alla prima vittima

Perché ci sfuggono i campanelli d'allarme

Mezzo decennio di ricerca con gli utenti restituisce sempre la stessa risposta: nessuno legge le URL. Si dà un'occhiata al nome del brand, si vede un lucchetto e si tira dritto. Non è un fallimento, è semplicemente come funziona la lettura ad alta frequenza.

I browser moderni peggiorano la situazione accorciando le URL o, sul cellulare, mostrando soltanto il dominio. È una concessione alla leggibilità, ma proprio così spariscono le variazioni di sottodominio e TLD che gli attaccanti sfruttano. Chrome è arrivato a sperimentare la visualizzazione del solo dominio registrato nascondendo il resto, una scelta che avrebbe peggiorato ancora la cosa.

In più, tanti link di phishing arrivano da canali di cui ti fidi di default. Una mail dell'hoster, una push dal portale del fisco, un messaggio Slack del capo (spoofato). Se il contesto torna, quasi nessuno si ferma a controllare l'URL.

Riconoscere un dominio lookalike in pochi secondi

Se hai aperto un link e ti è venuto un dubbio, in meno di un minuto puoi capire se il dominio è autentico.

  1. 1

    Seleziona il dominio nella barra degli indirizzi

    Il testo selezionato compare nella sua vera tipografia, spesso in un font in cui gli homoglyph saltano all'occhio molto più che nell'interfaccia del browser.
  2. 2

    Incolla l'URL in un editor di testo

    Un editor essenziale come Notepad o TextEdit mostra i caratteri grezzi. Se nel dominio compaiono di colpo un `xn--` o glifi strani, sei davanti a un attacco homoglyph.
  3. 3

    Controlla la TLD e gli eventuali sottodomini

    Il pezzo subito prima della prima barra è il dominio vero. Tutto quello che sta prima può chiamarsi in qualsiasi modo.
  4. 4

    Nel dubbio, entra dal dominio principale

    Invece di seguire il link nell'email, digita tu stesso il dominio ufficiale nel browser o usa un bookmark. Il giro più lungo richiede dieci secondi e mette fuori gioco l'attacco.

Aprire un link sospetto in sicurezza

Un'icona di link con una freccia che punta verso una finestra di browser più grande e sigillata dentro una bolla tratteggiata

A volte il link va aperto comunque, perché vuoi vedere chi c'è dietro. È esattamente il caso d'uso del browser isolato. Apri l'URL sospetta in un ambiente che non sa nulla di te: niente cookie, niente password salvate, niente estensione wallet. Se anche fosse un adversary-in-the-middle, l'attaccante finisce in una sessione dove non ha credenziali vere da raccogliere.

I team di sicurezza usano questo schema da anni per il triage del phishing. Per il singolo utente funziona alla stessa maniera: i login importanti passano sempre da un bookmark o da un password manager, le URL sospette si aprono in un browser usa e getta. Il metodo di triage nel dettaglio lo trovi in Testing Suspicious Links Without Risk.

Vuoi un vero desktop su qualunque dispositivo?

Prova Browser.lol gratis: la potenza di un PC, anche dal telefono.

Avvia il tuo desktop nel browser

Niente download • Funziona ovunque

Già scelto da oltre 250.000 professionisti
Compatibilità desktop totale
Pronto in pochi secondi

Ultimi articoli

Tutti gli articoli
Canvas, WebGL e Audio: i tre fingerprint che sopravvivono a ogni riavvio del browser
Sicurezza e privacy

Canvas, WebGL e Audio: i tre fingerprint che sopravvivono a ogni riavvio del browser

Contro questi tre, cancellare i cookie non serve a niente. Come si formano gli hash del canvas, le stringhe del renderer WebGL e le firme AudioContext, e perché perfino Tor ne lascia trapelare uno.

17.05.2026Continua a leggere
Tabnabbing e clickjacking: gli attacchi all'interfaccia che non vedi mai
Sicurezza e privacy

Tabnabbing e clickjacking: gli attacchi all'interfaccia che non vedi mai

Alcuni attacchi nel browser non hanno bisogno di malware. Riscrivono le tue schede mentre non le guardi o nascondono un pulsante vero sotto uno finto, e sei tu a consegnare credenziali o autorizzazioni. Ecco come funzionano questi trucchi di UI.

19.03.2026Continua a leggere
Wallet drainer Web3: come una sola firma svuota la tua crypto
Sicurezza e privacy

Wallet drainer Web3: come una sola firma svuota la tua crypto

Ai wallet drainer non serve la tua seed phrase. Ti spingono a firmare una transazione che porta via tutto con un clic. Ecco come funziona la truffa e come firmare senza farti ripulire.

05.03.2026Continua a leggere