Un errore di battitura può costare molto più di quanto si pensi. Il typosquatting è una delle tecniche di inganno più longeve e redditizie dell’intero ecosistema criminale.
Ogni giorno digitiamo decine di indirizzi web, spesso di fretta, o su uno schermo piccolo e mentre facciamo altro. È un gesto automatico, quasi inconscio, in cui la velocità prende il sopravvento sulla precisione. Proprio questa è la principale responsabile di errori banali, come un tasto premuto due volte, che in circostanze normali portano semplicemente a una pagina di errore. Tuttavia, in altre, portano da tutt’altra parte e i cybercriminali lo sanno da decenni.
Attorno a questa debolezza, si è creata un’industria criminale solida, remunerativa e in continua espansione. Si registra un dominio quasi identico a quello di un brand noto, con una piccola variazione che l’occhio tende a non cogliere, e si aspetta che qualcuno arrivi. Il nome di questa minaccia? Typosquatting.
Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.
Cos’è il typosquatting
Noto anche come URL hijacking, il typosquatting è una tecnica di attacco informatico che consiste nella registrazione di nomi a dominio volutamente simili a quelli di siti web legittimi, con l’obiettivo di intercettare gli utenti che commettono un errore durante la digitazione dell’indirizzo. Non si tratta di una vulnerabilità tecnica in senso stretto, ma di uno sfruttamento sistematico della fallibilità umana nell’interazione con il sistema dei nomi di dominio (DNS).
Le sue prime manifestazioni risalgono agli anni Novanta, quando la registrazione di domini era ancora poco regolamentata e le grandi aziende non avevano ancora sviluppato una strategia di protezione del proprio nome online. In quell’epoca, i domini typosquattati venivano usati principalmente per generare entrate pubblicitarie, intercettando traffico destinato ad altri siti. Col tempo e con la crescita esponenziale del commercio elettronico e dei servizi bancari online, gli obiettivi sono cambiati radicalmente. Nel 2026 il typosquatting è uno dei vettori di accesso iniziale più utilizzati nelle campagne di phishing, di distribuzione di malware e di frode finanziaria.
Ciò che lo rende ancora così efficace oggigiorno è la sua capacità di sfruttare un elemento difficilmente eliminabile: la fiducia implicita che l’utente ripone nell’indirizzo che vede nella barra del browser. A differenza di un’e-mail di phishing, che arriva non richiesta e può insospettire, un dominio typosquattato si trova esattamente dove l’utente si aspetta di trovare il sito legittimo. È lui ad arrivarci, convinto di essere nel posto giusto.
Le tecniche usate dai typosquatter
Le varianti del typosquatting sono molteplici e si sono affinate nel tempo, adattandosi ai cambiamenti nelle abitudini di navigazione e alla proliferazione delle estensioni di dominio disponibili. Vediamole più da vicino.
Errori di battitura classici
La forma più elementare consiste nel registrare domini che replicano gli errori più comuni sulla tastiera. Lettere adiacenti scambiate, caratteri duplicati o omessi e trasposizioni, sono solo alcuni degli esempi tipici. Spesso capita che un utente digiti goggle.com anziché google.com, o ammazzon.com invece di amazon.com. Per l’attaccante è sufficiente sfruttare questi errori a proprio vantaggio, in modo da intercettare una grossa quota di traffico, specialmente sui dispositivi mobili dove la precisione di digitazione è nettamente ridotta.
Sostituzione con caratteri visivamente simili
Più insidiosa è la tecnica che sostituisce caratteri alfabetici con numeri o simboli dall’aspetto quasi identico. La lettera “o” diventa “0”, la “l” minuscola diventa “1”, la “i” diventa “l”. Il risultato è un indirizzo che, letto velocemente, appare del tutto autentico. Un esempio del genere è paypa1. com al posto di paypal.com, documentato in numerose di phishing finanziario.
Domini omogrofi e attacchi Punycode
La variante più avanzata di typosquatting sfrutta il supporto dei browser moderni per i domini internazionalizzati (IDN), che consentono l’uso di caratteri non ASCII negli indirizzi web. Attraverso la codifica Punycode, un attaccante può registrare un dominio che utilizza caratteri cirillici, greci o di altri alfabeti visivamente identici a quelli latini. Il risultato è un indirizzo che nella barra del browser appare perfettamente uguale all’originale, ma che a livello DNS punta a un server completamente diverso. Questo tipo di attacco è particolarmente difficile da rilevare anche per utenti esperti.
Varianti TLD e combosquatting
Con la proliferazione delle estensioni di dominio disponibili (.com, .it, .xyz, .biz, .io), i typosquatter hanno ampliato il proprio campo d’azione registrando varianti del dominio originale con TLD diversi. A questo si affianca il combosquatting, che consiste nell’aggiungere parole chiave al nome del brand. Tra le più usate si citano: -login, -support, -secure e -account. In tal modo si vengono a creare dei domini del tipo paypal-login.com, che risultano particolarmente credibili perché richiamano funzioni reali dei servizi che impersonano.
Gli scenari di attacco
Aprire un dominio typosquattato non produce sempre le stesse conseguenze. L’obiettivo dell’attaccante varia a seconda del tipo di campagna, dell’infrastruttura allestita e del profilo della vittima. In base ai casi analizzati e documentati, gli scenari si riducono a tre.
Furto di credenziali tramite pagine clone
Lo scenario più comune prevede che il dominio typosquattato ospiti una copia visivamente fedele del sito legittimo. La pagina di login, il logo, i colori e la struttura sono identici all’originale. L’unica differenza è nell’indirizzo nella barra del browser, che la vittima non ha verificato. Inserendo le proprie credenziali, l’utente le consegna direttamente all’attaccante.
Questo tipo di attacco colpisce con particolare frequenza i servizi bancari, le piattaforme di posta elettronica aziendale e i portali di accesso a infrastrutture cloud. Non a caso, secondo il Rapporto CLUSIT 2026, presentato al Security Summit di Milano il 17 marzo 2026, il settore finanziario e assicurativo ha raccolto nel 2025 il 6,3% degli incidenti mondiali, con un incremento del 27% rispetto all’anno precedente. In Italia, le campagne di phishing e ingegneria sociale sono cresciute del 66%, con il contributo sempre più determinante dell’intelligenza artificiale nella costruzione di messaggi e pagine clone sempre più credibili.
Distribuzione malware via drive-by-download
In alcuni casi il dominio typosquattato non richiede alcuna interazione attiva da parte dell’utente per causare danni. La semplice visita della pagina, su un browser non aggiornato o con plugin vulnerabili, è sufficiente per avviare un drive-by download: l’esecuzione silenziosa di script malevoli che installano malware in background. Questo tipo di payload include infostealer, keylogger e, in scenari più gravi, loader che preparano il terreno per attacchi ransomware successivi.
È un vettore particolarmente pericoloso in ambito aziendale, dove un singolo dispositivo compromesso può diventare il punto di ingresso per un’intera campagna di intrusione.
Frodi finanziarie dirette
Il terzo scenario riguarda i cosiddetti siti bait-and-switch: portali che simulano la vendita di prodotti o servizi legittimi, intercettando utenti che cercano di acquistare sul sito originale. La transazione viene completata, il pagamento viene effettuato, ma la merce non arriva. Questo tipo di frode è particolarmente difficile da contestare perché l’addebito in conto corrente non proviene da un ente palesemente sospetto, ma da un dominio che l’utente ha visitato convinto fosse quello corretto.
Come difendersi dal typosquatting
Poiché il typosquatting sfrutta il comportamento umano più che le vulnerabilità tecniche, la difesa deve agire su entrambi i livelli: quello delle abitudini individuali e quello delle misure tecniche e organizzative. Di seguito sono riportate le misure più efficaci.
- Usare un password manager.
È la contromisura più efficace in assoluto contro il furto di credenziali tramite typosquatting. Un password manager non compila automaticamente le credenziali se il dominio della pagina non corrisponde esattamente a quello registrato nel proprio archivio. Anche di fronte a una pagina clone visivamente perfetta, il software non trova corrispondenza e non inserisce nulla, segnalando implicitamente all’utente che qualcosa non va. - Verficare sempre l’URL prima di inserire credenziali.
Un’abitudine semplice, ma spesso trascurata. Prima di digitare password, codici OTP o dati di pagamento, è fondamentale controllare con attenzione l’indirizzo nella barra del browser, verificando non solo il nome del sito ma anche l’estensione e la presenza del protocollo HTTPS con certificato valido. Attenzione particolare va posta ai caratteri visivamente ambigui. - Attivare l’autenticazione a più fattori (MFA).
Anche nel caso in cui le credenziali vengano sottratte tramite una pagina clone, la presenza di un secondo fattore di autenticazione riduce drasticamente la possibilità che l’attaccante riesca ad accedere all’account. È preferibile utilizzare app di autenticazione piuttosto che SMS, più esposti ad attacchi di SIM swapping. - Adottare la defensive registration aziendale.
Le organizzazioni che gestiscono un brand online dovrebbero registrare preventivamente le varianti più probabili del proprio dominio, incluse le estensioni alternative e le varianti con errori di battitura comuni. È un investimento contenuto che elimina alla radice una parte significativa della superficie di attacco. - Implementare strumenti di monitoraggio dei domini.
Esistono soluzioni automatizzate che scansionano continuamente i nuovi domini registrati a livello globale, segnalando in tempo reale qualsiasi variante sospetta del proprio nome. Questo consente di intervenire tempestivamente, sia attraverso procedure legali come l’UDRP, sia tramite la segnalazione ai registrar e ai browser vendor per l’inserimento nelle blacklist. - Mantenere browser e sistemi operativi aggiornati.
Gli aggiornamenti periodici includono spesso correzioni a vulnerabilità sfruttabili nei drive-by download. Un browser aggiornato è in grado di bloccare l’esecuzione di script malevoli che su versioni precedenti andrebbero a segno senza che l’utente se ne accorga.
In conclusione
Il typosquatting è una minaccia che non ha mai smesso di essere attuale. La sua longevità è la prova che non dipende dall’evoluzione tecnologica, ma da qualcosa di più stabile: la rapidità con cui navighiamo e la fiducia che riponiamo in ciò che vediamo sullo schermo. In trent’anni, i metodi si sono affinati, le varianti si sono moltiplicate e gli obiettivi si sono fatti molto più ambiziosi, ma il principio di fondo non è cambiato.
La nostra difesa richiede principalmente consapevolezza, attraverso misure alla portata di chiunque. Perché quando la trappola è nascosta in un singolo carattere, la prima difesa è semplicemente quella di guardare con più attenzione.
- Autore articolo
- Gli ultimi articoli
Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.