Attenzione al lucchetto verde: può essere una trappola

Https_attenzione-al-lucchetto-verde

Può succedere che proprio quando ci si rilassa pensando di essere al riparo da brutte sorprese si viene più facilmente truffati. La conferma di questo elementare principio arriva dai risultati di uno studio condotto dai laboratori di ricerca dei PhishLabs e ci dice che la metà (il 49%) delle truffe informatiche di phishing si nasconde proprio dietro la connessione protetta Https e dietro quel rassicurante lucchetto verde che ci dovrebbe dare la tranquillità di essere su un sito sicuro.

Purtroppo quella tranquillità va rivista e forse dimenticata, perché può essere la più insidiosa delle trappole.

Https significa Hypertext Transfer Protocol Secure, ed è un protocollo che serve a proteggere i dati che viaggiano tra computer e siti. 

Normalmente i dati trasmessi tramite https sono protetti dal protocollo Transport Layer Security che fornisce tre livelli di protezione: Crittografia, Integrità dati e Autenticazione, cioè l’utente ha la garanzia che i dati scambiati vengono criptati, non possono essere modificati e che sta comunicando effettivamente con il sito richiesto.

Il lucchetto verde è per tutti sinonimo di sicurezza

Nonostante questa garanzia di connessione protetta, rimane però non controllabile chi si muove dietro le quinte, un dettaglio non da poco che ci espone di fatto a ogni genere di truffa.

Ottenere un certificato SSL, oggi, è infatti un’operazione molto semplice: addirittura, in molti casi, i provider che offrono il servizio di hosting web lo propongono come servizio accessorio gratuito. Inoltre, per chi si muove nella zona più oscura della rete è abbastanza facile trovare certificati SSL rubati da riacquistare.  Il criminale a quel punto non dovrà far altro che creare una bella copia di un sito web dietro il quale nascondersi e il gioco è fatto. La truffa è servita e gli hacker potranno anche godere di un offuscamento del loro crimine visto che il traffico sarà crittografato.

A questo si aggiunge spesso l’internazionalizzazione dei nomi di dominio così da rendere più difficoltosa la lettura delle URL e creare maggiore confusione negli utenti. Insomma, un bel guaio per l’utente ignaro e convinto di navigare in acque tranquille.

Cosa fare se il lucchetto non è più così rassicurante

Si sta cercando di porre rimedio attraverso aggiornamenti dei software che cercheranno di bloccare i siti phishing a prescindere dal fatto che utilizzino o meno la crittografia del protocollo Https SSL. Ma questa misura non riuscirà a identificarli tutti. Quindi la miglior difesa rimane sempre la cautela nonché l’utilizzo di alcune precauzioni:

  • fare attenzione alla tipologia del sito e controllare che mentre si sta operando non appaiano pop up o finestre che rimandano a siti non protetti,
  • controllare che nel nome non ci siano parole fuori posto e riferimenti sospetti,
  • privileggiare l’accesso direttamente ai siti ufficiali ricercandoli in rete piuttosto che seguire link che arrivano via mail o sms,
  • dotare i dispositivi di adeguate protezioni antivirus,
  • analizzare le URL, confrontandole con i database di siti di phishing. Può anche essere sufficiente un copia e incolla dell’indirizzo web in questione su un Url scanner.

Ma la cosa più importante è che ogni volta che ci troviamo nella situazione di consegnare al web i nostri dati privati, password o dati bancari, dobbiamo essere consapevoli di ogni click che facciamo e avere sempre la percezione del pericolo. 

Avere un’adeguata consapevolezza di ogni nostra azione digitale

Soprattutto nel caso di aziende o organizzazioni dove un solo comportamento sbagliato può mettere a rischio l’intero sistema di produzione e può far perdere all’azienda stessa un sacco di soldi e di tempo è importante assicurarsi la corretta postura digitale da parte di tutto il personale, senza distinzioni di ruoli e mansioni.

Risorse umane preparate sulle migliori piattaforme di simulazione, continuamente aggiornate e “sul pezzo” rappresentano infatti il più forte sistema immunitario di cui un’organizzazione possa dotarsi. Di fronte a questa barriera non c’è antivirus che tenga e anche il più agguerrito degli hacker può trovare un filo da torcere talmente resistente da desistere nella sua impresa malevola.

Per saperne di più sui percorsi formativi di Cyber Guru