Un nuovo studio condotto dai laboratori di ricerca dei PhishLabs ha confermato una sempre più diffusa truffa dei finti siti “sicuri”: ormai la metà dei siti di phishing (per l’esattezza, il 49%) utilizza la connessione protetta SSL HTTPS e mostra il classico lucchetto verde nella barra indirizzi del browser come trappola per indurre l’utente a credere che si tratti di un sito legittimo e sicuro.
In realtà, la presenza di una connessione sicura basata su protocollo SSL non garantisce affatto sulla legittimità del sito: semplicemente, i certificati SSL/TLS servono normalmente a criptare la connessione tra il browser e il server che ospita il sito, in modo da proteggere il traffico dati.
Il problema è che al giorno d’oggi la procedura per ottenere un certificato SSL è molto semplice: addirittura, in molti casi, i provider che offrono il servizio di hosting Web lo propongono come servizio accessorio gratuito per la realizzazione del sito. Senza dire che nel Dark Web è abbastanza facile trovare certificati SSL rubati ai legittimi proprietari e messi in vendita a pochi dollari.
I criminali informatici, quindi, non devono fare altro che registrare un nuovo dominio e clonare un sito Internet legittimo per ritrovarsi la loro nuova trappola pronta all’uso. I pirati, inoltre, hanno imparato anche a sfruttare l’internazionalizzazione dei nomi di dominio per rendere più difficoltosa la lettura delle URL e creare, così, maggiore confusione negli utenti.
Mediante questi siti i criminali cercheranno ancora di indurre le vittime a consegnare loro informazioni riservate (ad esempio numeri di carte di credito, dati personali dell’home banking, credenziali di accesso alle infrastrutture critiche aziendali e via dicendo), con la differenza che questo traffico verrà crittografato garantendo loro un ulteriore livello di offuscamento delle malefatte compiute.
Di norma i siti clonati sono quelli di servizi conosciuti, il cui layout è ben riconoscibile e quindi disorienta ancora di più l’utente che entra e che si trova davanti ad una grafica già esperita.
Indice degli argomenti
Truffa dei finti siti “sicuri”: i consigli degli esperti per evitarla
È evidente come di fronte a questa nuova e sofisticata truffa a poco servono i moduli di controllo dei siti di phishing integrati nei browser: di fronte all’astuzia dei criminal hacker il classico lucchetto verde non basta più ad identificare un sito come sicuro. Anche per questo motivo le prossime versioni dei software affronteranno il problema bloccando i siti di phishing conosciuti indipendentemente dal fatto che utilizzino o meno la crittografia del protocollo HTTPS SSL.
Chiaramente, non riusciranno ad identificare tutti i siti di phishing, per cui la miglior difesa rimarrà sempre la prudenza: occorre sempre mettere in dubbio la legittimità delle richieste inattese per i nostri accessi o di informazioni personali, anche se all’apparenza sembrano provenire da fonti autentiche.
Verifichiamo sempre l’autenticità dei siti web
Secondo Paolo Dal Checco, Consulente informatico forense, infatti, “il lucchettino verde che compare quando visioniamo i siti Web è uno degli elementi più fraintesi dagli utenti: viene interpretato come indice di autenticità e sicurezza, quando in realtà garantisce soltanto la cifratura della connessione e la corrispondenza del certificato all’indirizzo”.
“La cifratura della connessione”, continua Paolo Dal Checco, “ci garantisce che i dati che viaggiano dal nostro browser fino al server del sito Web e viceversa sono “al sicuro” da occhi indiscreti, poiché viaggiano codificati con una password che a ogni connessione viene generata in sostituzione della precedente. La corrispondenza del certificato all’indirizzo visitato implica che chi ha registrato il dominio e lo utilizza per ospitare un sito Web ha chiesto a un’autorità di certificazione di confermare la propria identità legata all’indirizzo del sito”.
“In sostanza”, continua Dal Checco, “questo non ci garantisce sulla bontà del sito, perché chiunque può registrare un dominio come “bancadicreditoitaliano.com” e acquistare il certificato che permette di ottenere il lucchettino verde, senza essere una banca e senza essere italiano. Ovviamente, per l’utente medio, il lucchettino indica l’autenticità del sito e tende quindi a fidarsi del suo contenuto; i browser, dal canto loro, tendono a validare come “buoni” gli indirizzi che hanno HTTPS con certificato autenticato e lo stesso vale anche per i motori di ricerca. È quindi necessario, non rivedere la tecnologia, ma fare in modo che la percezione degli utenti sia quella corretta”.
Prima di proseguire la navigazione su siti quantomeno sospetti è quindi opportuno utilizzare un URL Scanner in grado di verificarne l’autenticità: un semplice copia e incolla dell’indirizzo Web del sito può essere sufficiente a garantire una navigazione sicura e al riparo dalle truffe.
L’importanza della security awareness
Secondo Gerardo Costabile, CEO di DeepCyber, invece, “gli attacchi di phishing e spear phishing sono sempre più evoluti e il fatto che anche sul piano tecnico si utilizzino approcci più raffinati rende l’utente medio più vulnerabile. Non basta analizzare il phishing solo sul piano tecnico, perché questo tipo di attacchi nasce da tecniche di ingegneria sociale. Per questo motivo è sicuramente utile approcciare la minaccia anche con tool antiphishing (sia su PC che su mobile), ma è bene porre l’accento sul fattore umano che resta al momento l’ultimo “firewall” di questo tipo di attacchi”.
Il CEO di DeepCyber lascia anche un utile consiglio per le aziende: “Al di là della formazione degli utenti, un elemento importante per la security awareness è la “misurazione” sul campo del livello di consapevolezza degli stessi. Una delle più recenti metodologie è l’utilizzo di piattaforme – all’interno delle aziende che voglio effettuare questa misurazione – che possano simulare attacchi di phishing e spear phishing, con modalità gradualmente più complesse ed articolate, in modo che l’azienda possa verificare sul campo la “tenuta” del proprio H factor (come una sorta di penetration test sulle persone). Da qui, poi, si può partire per innalzare il livello di sicurezza generale da questo tipo di attacchi, di concerto con altre tecniche più “informatiche”.
Le buone regole di sicurezza
Su questo nuovo attacco di tipo phishing abbiamo chiesto un parere anche ad Andrea Muzzi, Technical Manager F-Secure Corporation: “come se non bastassero già le decine di attacchi mirati a cui come utenti siamo sottoposti ogni giorno, anche alcune basi della sicurezza tornano a scricchiolare nuovamente. “La metà dei siti di phishing ingannano gli utenti visualizzando il lucchetto verde HTTPS”: questa affermazione ha fatto rabbrividire più di una persona. Prima ci è stato detto che occorre verificare che l’URL a cui ci si vuole connettere abbia scritto all’inizio HTTPS e non HTTP. Poi che occorrerebbe anche verificare che prima dell’HTTPS ci sia l’immagine di un lucchetto di colore verde. Ma alla fine scopriamo che anche tutto questo non è più sufficiente per proteggerci”.
Secondo Muzzi, “le cyber minacce stanno progredendo con una rapidità che a volte supera le tecniche difesa. Non solo, le tecnologie d’attacco sono sempre più spesso facilmente disponibili: purtroppo l’alfabetizzazione degli utenti riguardo a minacce e sicurezza non va di pari passo”. “Per gli addetti ai lavori”, continua Muzzi, “potrebbe essere più semplice gestire la cosa se utilizzassimo alcune regole base che ci aiutano ad evitare queste insidiose trappole. Innanzitutto, va verificata la provenienza del link, passo fondamentale se arriva all’interno di una email. Poi occorre accertarsi che si tratti di un sito realmente esistente. Lo si può verificare facilmente facendo una ricerca in Google. Potremmo quindi spingerci in controlli più accurati arrivando a verificare il certificato SSL che accompagna il sito. Anche in questo caso, però, non si può avere la certezza assoluta: esistono in rete dei programmi molto semplici e potenti che permettono di falsificare i certificati che verranno utilizzati al posto di quelli originali”.
Ma come può difendersi l’utente comune che non ha tutte queste conoscenze? “Le persone utilizzano gli strumenti informatici ogni giorno per gli acquisti, per navigare, per lavorare”, osserva Muzzi. “Non possiamo pretendere che nel turbinio quotidiano di cose da sbrigare possano ogni volta interrogarsi e analizzare in maniera dettagliata un link come abbiamo descritto sopra”. Ecco quindi alcuni suoi consigli pratici, tenendo sempre presenti le regole base che abbiamo imparato ad utilizzare, aggiungendo qualche dettaglio in più:
- prima di tutto, serve una sana diffidenza, che ci porta ad essere più attenti a quello che stiamo facendo;
- abbiamo verificato la presenza dell’HTTPS e del lucchetto verde, ma siamo dubbiosi sull’autenticità del sito? Clicchiamo allora sulla “i” nel cerchiolino e da qui potremmo avere qualche informazione in più sul sito a cui ci stiamo collegando;
- se il link è arrivato nell’email di un conoscente, però il dominio è quello di un paese straniero, verifichiamo prima in Google che si tratti di un sito reale;
- ma soprattutto, proteggiamoci con una soluzione di sicurezza di un produttore riconosciuto, che garantisca un controllo costante dei siti sparsi nella rete e aggiornamenti rapidi e veloci. Insomma, una soluzione che abbia al suo interno una vera “protezione della navigazione” che dia un controllo sulla reputazione dei siti a cui ci connettiamo in modo da conoscere in anticipo se quel determinato sito sia già stato catalogato come pericoloso o meno. In caso di codice malevolo all’interno della pagina, la soluzione deve bloccarne immediatamente l’accesso. Serve infine un vero “controllo genitori” che possa aiutare anche gli utenti più giovani a navigare in maniera più tranquilla.
Muzzi conclude “suggerendo che, in caso di dubbio, non si può far finta di nulla ma occorre informarsi di più”.
