Lo scorso 19 settembre 2016 abbiamo pubblicato un articolo dal titolo “La sicurezza informatica passa anche attraverso l’uso di un sito sicuro: il protocollo https://”, nel quale si riportava la iniziativa di Google tesa a scoraggiare la presenza di siti con estensione “http” stabilendo che questi siti sarebbero andati a finire agli ultimi posti nella indicizzazione delle ricerche e che ad inizio dell’anno in corso (il 2017) tali siti sarebbero stati banditi dal proprio motore di ricerca, in quanto ritenuti insicuri.
La estensione “https”, infatti, fornisce l’autenticazione del sito web e del server associato come sicuro in quanto in grado di garantire i seguenti ambiti di sicurezza:
L'articolo continua dopo la pubblicità
Gli hacker si sono “attrezzati” per riuscire ad indurre in errore gli utenti che accedono ai siti che hanno una estensione che finisce con la “s” e lo hanno fatto partendo dalla considerazione che l’utente medio per valutare l’attendibilità del sito (intesa in termini di sicurezza) si limita a leggere se in alto a sinistra della pagina compare la estensione https:// preceduta dal simbolo del lucchetto chiuso.
Per cui tramite il ricorso ad operazioni di phishing riescono ad eludere le tecnologie impiegate dalle aziende per proteggere i loro sistemi.
Il phishing consiste in una tecnica finalizzata ad acquisire dati e/o informazioni e/o codici di accesso e/o carte di credito e/o password, ecc, inducendo la vittima designata in errore tramite l’invio di messaggi fraudolenti.
Solitamente i tentativi di phishing sembrano progettati per uno scopo legittimo, ma in realtà sono destinati a essere utilizzati per attività criminali, questo è il motivo per cui individuarli richiede una particolare attenzione unita anche a conoscenze tecniche.
Tale tecnica fraudolenta consiste, in buona sostanza, nell’invio di e-mail illegittime ed ha un costo irrisorio.
La richiesta contenuta in queste email è spesso motivata da guasti ai sistemi informatici oppure da attività di verifica e riscontro dati.
Il destinatario è invitato a collegarsi tramite un link, presente nel messaggio, ad un sito Internet, in apparenza simile a quello ufficiale (es. azienda di credito, ente locale, asl, ecc.) e ad inserirvi le informazioni riservate.
L’email può inoltre utilizzare toni “intimidatori”, come le minacce di sospensione del servizio in caso di mancata risposta. Le pagine web e le email di phishing spesso contengono errori ortografici e grammaticali e fanno un utilizzo scorretto della lingua italiana, indice di una traduzione automatica dei messaggi.
Nel caso che interessa il phishing viene realizzato creando un sito simile quasi in tutto con quello ufficiale e dotato in alto a sinistra sia dell’icona con il lucchetto chiuso che della estensione htpps.
Accade, purtroppo, che l’utente che accede al sito si limita, come detto e nella migliore delle ipotesi, ad accertarsi della presenza dei suddetti due elementi senza fare attenzione a possibili differenze tra il sito che si visita e quello ufficiale.
Su questa disattenzione si basano gli hacker per farsi rilasciare i dati da parte degli utenti.
Al fine di evitare di incorrere in truffe tramite phishing l’utente deve:
1) andare a leggere il certificato utilizzato dal sito web; ciò avverrà andando a cliccare sull’icona del lucchetto;
2) una volta aperta la pagina dedicata va effettuato uno scrutinio finalizzato ad accertare due aspetti:
- se il certificato digitale è stato effettivamente rilasciato per quello specifico dominio
- se è in corso di validità.
Il Garante per la protezione dei dati personali si è occupato dell’argomento attraverso la realizzazione di una infografica che – tra le altre cose – invita l’utente a valutare criticamente i messaggi che arrivano: uno di questi attiene alla correttezza del linguaggio utilizzato (spesso sono presenti errori grammaticali evidenti, oppure il nome del mittente è strano o eccentrico, oppure ancora contengono richieste di informazioni personali paventando in assenza di risposta la chiusura del conto, e così via).
L’Autorità di controllo, per questi motivi, invita ad installare ed aggiornare un programma antivirus in grado di proteggere dal phishing.