Come far sembrare autentico un sito falso
Una delle consuetudini errate, ma molto diffuse tra gli internauti, è quella di considerare un sito autentico quando viene mostrato un lucchetto chiuso sulla barra di navigazione del browser: in tal caso, si suppone di poter inserire tranquillamente le proprie credenziali o dati personali.
In realtà il simbolo del lucchetto sta ad indicare soltanto che la comunicazione con il server è criptata, e dunque non rappresenta una forma di autenticazione, perché oggi chiunque può procurarsi, anche gratuitamente, un certificato digitale di sicurezza, che attiva la visualizzazione del lucchetto.
Il ricercatore di sicurezza informatica James Burton ha trovato un modo ingegnoso per rendere ancora più credibile un sito falso.
Burton ha aperto una ditta nel Regno Unito, operazione molto semplice e poco costosa, e l‘ha chiamata Identity Verified.
Successivamente si è rivolto all'azienda Symantec per procurarsi un certificato digitale di sicurezza per aziende, intestato alla Identity Verified, ed associato al proprio sito personale Nothing.org.uk, con un periodo di prova gratuito di trenta giorni: il certificato è stato revocato dopo la pubblicazione dell'articolo del ricercatore. Infine, ha creato sul proprio sito una copia delle pagine di login di Google e Paypal.
Risultato: una vittima che visita il sito con il proprio iPhone ed il browser Safari, si trova davanti quello che si aspetta, ossia la schermata di immissione password di Google o Paypal, e vede in alto, al posto del nome del sito (che potrebbe rivelare l'inganno), le parole rassicuranti Identity Verified. Parole che sembrano autenticare il sito, ma che in realtà rappresentano semplicemente il nome della ditta.
Il browser Safari di Apple, infatti, quando incontra un sito criptato da un certificato digitale di sicurezza, mostra al posto del nome del sito il nome riportato nel certificato.
Va un pochino meglio, ma non molto, con altri browser, come Google Chrome, che visualizzano il nome del sito ma gli affiancano un rassicurante lucchetto verde con la dicitura Identity Verified.
Dunque, meglio non fidarsi ed evitare di cliccare su link provenienti da mail che informano di anomalie che interessano gli account attivati, e se proprio si sente la necessità di effettuare verifiche, è preferibile visitare manualmente il sito interessato.
In realtà il simbolo del lucchetto sta ad indicare soltanto che la comunicazione con il server è criptata, e dunque non rappresenta una forma di autenticazione, perché oggi chiunque può procurarsi, anche gratuitamente, un certificato digitale di sicurezza, che attiva la visualizzazione del lucchetto.
Il ricercatore di sicurezza informatica James Burton ha trovato un modo ingegnoso per rendere ancora più credibile un sito falso.
Burton ha aperto una ditta nel Regno Unito, operazione molto semplice e poco costosa, e l‘ha chiamata Identity Verified.
Successivamente si è rivolto all'azienda Symantec per procurarsi un certificato digitale di sicurezza per aziende, intestato alla Identity Verified, ed associato al proprio sito personale Nothing.org.uk, con un periodo di prova gratuito di trenta giorni: il certificato è stato revocato dopo la pubblicazione dell'articolo del ricercatore. Infine, ha creato sul proprio sito una copia delle pagine di login di Google e Paypal.
Risultato: una vittima che visita il sito con il proprio iPhone ed il browser Safari, si trova davanti quello che si aspetta, ossia la schermata di immissione password di Google o Paypal, e vede in alto, al posto del nome del sito (che potrebbe rivelare l'inganno), le parole rassicuranti Identity Verified. Parole che sembrano autenticare il sito, ma che in realtà rappresentano semplicemente il nome della ditta.
Il browser Safari di Apple, infatti, quando incontra un sito criptato da un certificato digitale di sicurezza, mostra al posto del nome del sito il nome riportato nel certificato.
Va un pochino meglio, ma non molto, con altri browser, come Google Chrome, che visualizzano il nome del sito ma gli affiancano un rassicurante lucchetto verde con la dicitura Identity Verified.
Dunque, meglio non fidarsi ed evitare di cliccare su link provenienti da mail che informano di anomalie che interessano gli account attivati, e se proprio si sente la necessità di effettuare verifiche, è preferibile visitare manualmente il sito interessato.