L'ANALISI

La truffa dei finti siti con HTTPS: così si evita la nuova trappola del phishing

Uno studio condotto da PhishLabs ha evidenziato che quasi la metà dei siti di phishing utilizza la connessione SSL HTTPS e mostra il classico lucchetto verde nel browser per ingannare l’utente inducendolo a credere che si tratti di un sito legittimo e sicuro. I consigli per non cadere nella trappola

30 Giu 2022

Un nuovo studio condotto dai laboratori di ricerca dei PhishLabs ha confermato una sempre più diffusa truffa dei finti siti “sicuri”: ormai la metà dei siti di phishing (per l’esattezza, il 49%) utilizza la connessione protetta SSL HTTPS e mostra il classico lucchetto verde nella barra indirizzi del browser come trappola per indurre l’utente a credere che si tratti di un sito legittimo e sicuro. 

In realtà, la presenza di una connessione sicura basata su protocollo SSL non garantisce affatto sulla legittimità del sito: semplicemente, i certificati SSL/TLS servono normalmente a criptare la connessione tra il browser e il server che ospita il sito, in modo da proteggere il traffico dati.

Il problema è che al giorno d’oggi la procedura per ottenere un certificato SSL è molto semplice: addirittura, in molti casi, i provider che offrono il servizio di hosting Web lo propongono come servizio accessorio gratuito per la realizzazione del sito. Senza dire che nel Dark Web è abbastanza facile trovare certificati SSL rubati ai legittimi proprietari e messi in vendita a pochi dollari.

I criminali informatici, quindi, non devono fare altro che registrare un nuovo dominio e clonare un sito Internet legittimo per ritrovarsi la loro nuova trappola pronta all’uso. I pirati, inoltre, hanno imparato anche a sfruttare l’internazionalizzazione dei nomi di dominio per rendere più difficoltosa la lettura delle URL e creare, così, maggiore confusione negli utenti.

Mediante questi siti i criminali cercheranno ancora di indurre le vittime a consegnare loro informazioni riservate (ad esempio numeri di carte di credito, dati personali dell’home banking, credenziali di accesso alle infrastrutture critiche aziendali e via dicendo), con la differenza che questo traffico verrà crittografato garantendo loro un ulteriore livello di offuscamento delle malefatte compiute.

Di norma i siti clonati sono quelli di servizi conosciuti, il cui layout è ben riconoscibile e quindi disorienta ancora di più l’utente che entra e che si trova davanti ad una grafica già esperita.

phishing

Truffa dei finti siti “sicuri”: i consigli degli esperti per evitarla

È evidente come di fronte a questa nuova e sofisticata truffa a poco servono i moduli di controllo dei siti di phishing integrati nei browser: di fronte all’astuzia dei criminal hacker il classico lucchetto verde non basta più ad identificare un sito come sicuro. Anche per questo motivo le prossime versioni dei software affronteranno il problema bloccando i siti di phishing conosciuti indipendentemente dal fatto che utilizzino o meno la crittografia del protocollo HTTPS SSL.

INFOGRAFICA
I migliori data analytics tools a confronto: CHI VINCE?
Big Data
Datacenter

Chiaramente, non riusciranno ad identificare tutti i siti di phishing, per cui la miglior difesa rimarrà sempre la prudenza: occorre sempre mettere in dubbio la legittimità delle richieste inattese per i nostri accessi o di informazioni personali, anche se all’apparenza sembrano provenire da fonti autentiche.

Verifichiamo sempre l’autenticità dei siti web

Secondo Paolo Dal Checco, Consulente informatico forense, infatti, “il lucchettino verde che compare quando visioniamo i siti Web è uno degli elementi più fraintesi dagli utenti: viene interpretato come indice di autenticità e sicurezza, quando in realtà garantisce soltanto la cifratura della connessione e la corrispondenza del certificato all’indirizzo”.

“La cifratura della connessione”, continua Paolo Dal Checco, “ci garantisce che i dati che viaggiano dal nostro browser fino al server del sito Web e viceversa sono “al sicuro” da occhi indiscreti, poiché viaggiano codificati con una password che a ogni connessione viene generata in sostituzione della precedente. La corrispondenza del certificato all’indirizzo visitato implica che chi ha registrato il dominio e lo utilizza per ospitare un sito Web ha chiesto a un’autorità di certificazione di confermare la propria identità legata all’indirizzo del sito”.

“In sostanza”, continua Dal Checco, “questo non ci garantisce sulla bontà del sito, perché chiunque può registrare un dominio come “bancadicreditoitaliano.com” e acquistare il certificato che permette di ottenere il lucchettino verde, senza essere una banca e senza essere italiano. Ovviamente, per l’utente medio, il lucchettino indica l’autenticità del sito e tende quindi a fidarsi del suo contenuto; i browser, dal canto loro, tendono a validare come “buoni” gli indirizzi che hanno HTTPS con certificato autenticato e lo stesso vale anche per i motori di ricerca. È quindi necessario, non rivedere la tecnologia, ma fare in modo che la percezione degli utenti sia quella corretta”.

Prima di proseguire la navigazione su siti quantomeno sospetti è quindi opportuno utilizzare un URL Scanner in grado di verificarne l’autenticità: un semplice copia e incolla dell’indirizzo Web del sito può essere sufficiente a garantire una navigazione sicura e al riparo dalle truffe.

L’importanza della security awareness

Secondo Gerardo Costabile, CEO di DeepCyber, invece, “gli attacchi di phishing e spear phishing sono sempre più evoluti e il fatto che anche sul piano tecnico si utilizzino approcci più raffinati rende l’utente medio più vulnerabile. Non basta analizzare il phishing solo sul piano tecnico, perché questo tipo di attacchi nasce da tecniche di ingegneria sociale. Per questo motivo è sicuramente utile approcciare la minaccia anche con tool antiphishing (sia su PC che su mobile), ma è bene porre l’accento sul fattore umano che resta al momento l’ultimo “firewall” di questo tipo di attacchi”.

Il CEO di DeepCyber lascia anche un utile consiglio per le aziende: “Al di là della formazione degli utenti, un elemento importante per la security awareness è la “misurazione” sul campo del livello di consapevolezza degli stessi. Una delle più recenti metodologie è l’utilizzo di piattaforme – all’interno delle aziende che voglio effettuare questa misurazione – che possano simulare attacchi di phishing e spear phishing, con modalità gradualmente più complesse ed articolate, in modo che l’azienda possa verificare sul campo la “tenuta” del proprio H factor (come una sorta di penetration test sulle persone). Da qui, poi, si può partire per innalzare il livello di sicurezza generale da questo tipo di attacchi, di concerto con altre tecniche più “informatiche”.

Le buone regole di sicurezza

Su questo nuovo attacco di tipo phishing abbiamo chiesto un parere anche ad Andrea Muzzi, Technical Manager F-Secure Corporation: “come se non bastassero già le decine di attacchi mirati a cui come utenti siamo sottoposti ogni giorno, anche alcune basi della sicurezza tornano a scricchiolare nuovamente. “La metà dei siti di phishing ingannano gli utenti visualizzando il lucchetto verde HTTPS”: questa affermazione ha fatto rabbrividire più di una persona. Prima ci è stato detto che occorre verificare che l’URL a cui ci si vuole connettere abbia scritto all’inizio HTTPS e non HTTP. Poi che occorrerebbe anche verificare che prima dell’HTTPS ci sia l’immagine di un lucchetto di colore verde. Ma alla fine scopriamo che anche tutto questo non è più sufficiente per proteggerci”.

Secondo Muzzi, “le cyber minacce stanno progredendo con una rapidità che a volte supera le tecniche difesa. Non solo, le tecnologie d’attacco sono sempre più spesso facilmente disponibili: purtroppo l’alfabetizzazione degli utenti riguardo a minacce e sicurezza non va di pari passo”. “Per gli addetti ai lavori”, continua Muzzi, “potrebbe essere più semplice gestire la cosa se utilizzassimo alcune regole base che ci aiutano ad evitare queste insidiose trappole. Innanzitutto, va verificata la provenienza del link, passo fondamentale se arriva all’interno di una email. Poi occorre accertarsi che si tratti di un sito realmente esistente. Lo si può verificare facilmente facendo una ricerca in Google. Potremmo quindi spingerci in controlli più accurati arrivando a verificare il certificato SSL che accompagna il sito. Anche in questo caso, però, non si può avere la certezza assoluta: esistono in rete dei programmi molto semplici e potenti che permettono di falsificare i certificati che verranno utilizzati al posto di quelli originali”.

Ma come può difendersi l’utente comune che non ha tutte queste conoscenze? “Le persone utilizzano gli strumenti informatici ogni giorno per gli acquisti, per navigare, per lavorare”, osserva Muzzi. “Non possiamo pretendere che nel turbinio quotidiano di cose da sbrigare possano ogni volta interrogarsi e analizzare in maniera dettagliata un link come abbiamo descritto sopra”. Ecco quindi alcuni suoi consigli pratici, tenendo sempre presenti le regole base che abbiamo imparato ad utilizzare, aggiungendo qualche dettaglio in più:

  • prima di tutto, serve una sana diffidenza, che ci porta ad essere più attenti a quello che stiamo facendo;
  • abbiamo verificato la presenza dell’HTTPS e del lucchetto verde, ma siamo dubbiosi sull’autenticità del sito? Clicchiamo allora sulla “i” nel cerchiolino e da qui potremmo avere qualche informazione in più sul sito a cui ci stiamo collegando;
  • se il link è arrivato nell’email di un conoscente, però il dominio è quello di un paese straniero, verifichiamo prima in Google che si tratti di un sito reale;
  • ma soprattutto, proteggiamoci con una soluzione di sicurezza di un produttore riconosciuto, che garantisca un controllo costante dei siti sparsi nella rete e aggiornamenti rapidi e veloci. Insomma, una soluzione che abbia al suo interno una vera “protezione della navigazione” che dia un controllo sulla reputazione dei siti a cui ci connettiamo in modo da conoscere in anticipo se quel determinato sito sia già stato catalogato come pericoloso o meno. In caso di codice malevolo all’interno della pagina, la soluzione deve bloccarne immediatamente l’accesso. Serve infine un vero “controllo genitori” che possa aiutare anche gli utenti più giovani a navigare in maniera più tranquilla.

Muzzi conclude “suggerendo che, in caso di dubbio, non si può far finta di nulla ma occorre informarsi di più”.

WHITEPAPER
Perché impostare una strategia di manutenzione dei server?
Datacenter
Sicurezza
@RIPRODUZIONE RISERVATA

Speciale PNRR

Tutti
Incentivi
PA
Sostemibilità
Analisi
Formazione
Salute digitale
Sicurezza
Sostenibilità
Digital Economy
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr
Formazione
Trasferimento tecnologico, il Mise mette sul piatto 7,5 milioni
Strategie
PSN e Strategia Cloud Italia: a che punto siamo e come supportare la PA in questo percorso
Dispersione idrica
Siccità: AI e analisi dei dati possono ridurre gli sprechi d’acqua. Ecco gli interventi necessari
PNRR
Cloud, firmato il contratto per l’avvio di lavori del Polo strategico
Formazione
Competenze digitali, stanziati 48 milioni per gli Istituti tecnologici superiori
Iniziative
Digitalizzazione delle reti idriche: oltre 600 milioni per 21 progetti
Competenze e competitività
PNRR, così i fondi UE possono rilanciare la ricerca e l’Università
Finanziamenti
PNRR, si sbloccano i fondi per l’agrisolare
Sanità post-pandemica
PNRR, Missione Salute: a che punto siamo e cosa resta da fare
Strategie
Sovranità e autonomia tecnologica nazionale: come avviare un processo virtuoso e sostenibile
La relazione
Pnrr e PA digitale, l’alert della Corte dei conti su execution e capacità di spesa
L'editoriale
Elezioni 2022, la sfida digitale ai margini del dibattito politico
Strategie
Digitale, il monito di I-Com: “Senza riforme Pnrr inefficace”
Transizione digitale
Pnrr: arrivano 321 milioni per cloud dei Comuni, spazio e mobilità innovativa
L'analisi I-COM
Il PNRR alla prova delle elezioni: come usare bene le risorse e centrare gli obiettivi digitali
Cineca
Quantum computing, una svolta per la ricerca: lo scenario europeo e i progetti in corso
L'indice europeo
Desi, l’Italia scala due posizioni grazie a fibra e 5G. Ma è (ancora) allarme competenze
L'approfondimento
PNRR 2, ecco tutte le misure per cittadini e imprese: portale sommerso, codice crisi d’impresa e sismabonus, cosa cambia
Servizi digitali
PNRR e trasformazione digitale: ecco gli investimenti e le riforme previste per la digitalizzazione della PA
Legal health
Lo spazio europeo dei dati sanitari: come circoleranno le informazioni sulla salute nell’Unione Europea
Servizi digitali
PNRR e PA digitale: non dimentichiamo la dematerializzazione
Digital Healthcare transformation
La trasformazione digitale degli ospedali
Governance digitale
PA digitale, è la volta buona? Così misure e risorse del PNRR possono fare la differenza
Servizi digitali
Comuni e digitale, come usare il PNRR senza sbagliare
La survey
Pnrr e digitale accoppiata vincente per il 70% delle pmi italiane
Missione salute
Fascicolo Sanitario Elettronico alla prova del PNRR: limiti, rischi e opportunità
Servizi pubblici
PNRR: come diventeranno i siti dei comuni italiani grazie alle nuove risorse
Skill gap
PNRR, la banda ultra larga crea 20.000 nuovi posti di lavoro
Il Piano
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUMPA2022
PNRR e trasformazione digitale: rivedi i Talk di FORUM PA 2022 in collaborazione con le aziende partner
I contratti
Avio, 340 milioni dal Pnrr per i nuovi propulsori a metano
Next Generation EU
PNRR, a che punto siamo e cosa possono aspettarsi le aziende private
Fondi
Operativo il nuovo portale del MISE con tutti i finanziamenti per le imprese
Servizi comunali
Il PNRR occasione unica per i Comuni digitali: strumenti e risorse per enti e cittadini
Healthcare data platform
PNRR dalla teoria alla pratica: tecnologie e soluzioni per l’innovazione in Sanità
Skill
Competenze digitali, partono le Reti di facilitazione
Gli obiettivi
Scuola 4.0, PNRR ultima chance: ecco come cambierà il sistema formativo
Sistema Paese
PNRR 2, è il turno della space economy
FORUM PA 2022
FORUM PA 2022: la maturità digitale dei comuni italiani rispetto al PNRR
Analisi
PNRR: dalla Ricerca all’impresa, una sfida da cogliere insieme
Innovazione
Pnrr, il Dipartimento per la Trasformazione digitale si riorganizza
FORUM PA 2022
PA verde e sostenibile: il ruolo di PNRR, PNIEC, energy management e green public procurement
Analisi
PNRR, Comuni e digitalizzazione: tutto su fondi e opportunità, in meno di 3 minuti. Guarda il video!
Rapporti
Competenze digitali e servizi automatizzati pilastri del piano Inps
Analisi
Attuazione del PNRR: il dialogo necessario tra istituzioni e società civile. Rivedi lo Scenario di FORUM PA 2022
Progetti
Pnrr, fondi per il Politecnico di Torino. Fra i progetti anche IS4Aerospace
Analisi
PNRR, Colao fa il punto sulla transizione digitale dell’Italia: «In linea con tutte le scadenze»
La Svolta
Ict, Istat “riclassifica” i professionisti. Via anche al catalogo dati sul Pnrr
Analisi
Spazio, Colao fa il punto sul Pnrr: i progetti verso la milestone 2023
FORUM PA 2022
Ecosistema territoriale sostenibile: l’Emilia Romagna tra FESR e PNRR
Il Piano
Innovazione, il Mise “centra” gli obiettivi Pnrr: attivati 17,5 miliardi
Analisi
PNRR: raggiunti gli obiettivi per il primo semestre 2022. Il punto e qualche riflessione
Analisi
PNRR: dal dialogo tra PA e società civile passa il corretto monitoraggio dei risultati, tra collaborazione e identità dei luoghi
Webinar
Comuni e PNRR: un focus sui bandi attivi o in pubblicazione
Analisi
Formazione 4.0: cos’è e come funziona il credito d’imposta
PA e Sicurezza
PA e sicurezza informatica: il ruolo dei territori di fronte alle sfide della digitalizzazione
PA e sicurezza
PNRR e servizi pubblici digitali: sfide e opportunità per Comuni e Città metropolitane
Water management
Water management in Italia: verso una transizione “smart” e “circular” 
LE RISORSE
Transizione digitale, Simest apre i fondi Pnrr alle medie imprese
Prospettive
Turismo, cultura e digital: come spendere bene le risorse del PNRR
Analisi
Smart City: quale contributo alla transizione ecologica
Decarbonizzazione
Idrogeno verde, 450 milioni € di investimenti PNRR, Cingolani firma
Unioncamere
PNRR, imprese in ritardo: ecco come le Camere di commercio possono aiutare
I fondi
Industria 4.0: solo un’impresa su tre pronta a salire sul treno Pnrr

Articolo 1 di 5