Cerca nel blog

2017/12/15

Come far sembrare autentico un sito falso: aprire una ditta di nome “Identity Verified”

Ultimo aggiornamento: 2017/12/15 10:35. 

Una delle consuetudini errate ma molto diffuse tra gli internauti è che se un sito mostra accanto al nome un lucchetto chiuso si tratta di un sito autentico e quindi vi si può immettere tranquillamente la propria password (non si tratta, insomma, di un sito-fotocopia di phishing). Questo era abbastanza vero fino a qualche anno fa, ma in realtà oggi il lucchetto indica soltanto che la comunicazione con il sito è criptata e non è più una forma di autenticazione, perché adesso chiunque può procurarsi un certificato digitale di sicurezza (che attiva la visualizzazione del lucchetto) anche gratuitamente, come scrivevo pochi giorni fa.

Il ricercatore di sicurezza informatica James Burton ha trovato un modo ingegnoso per rendere ancora più credibile un sito falso, ed è meglio conoscerlo per non farsi ingannare.

Burton ha aperto una ditta nel Regno Unito (un’operazione molto semplice e poco costosa) e l‘ha chiamata Identity Verified. Poi si è rivolto a Symantec e si è fatto dare un certificato digitale di sicurezza per aziende intestato alla Identity Verified e associato al proprio sito personale Nothing.org.uk, con un periodo di prova gratuito di trenta giorni (il certificato è stato revocato dopo la pubblicazione dell’articolo del ricercatore). Infine ha creato sul proprio sito una copia delle pagine di login di Google e Paypal.

Risultato: una vittima che visita il sito con il proprio iPhone e Safari (per esempio perché ha cliccato su un link in una mail che finge di essere un allarme di Google o Paypal) si trova davanti quello che si aspetta, ossia la schermata di immissione password di Google o Paypal, e vede in alto, al posto del nome del sito (che potrebbe rivelare l’inganno), le parole rassicuranti Identity Verified. Parole che sembrano autenticare il sito, ma sono semplicemente il nome della ditta.

Il browser Safari di Apple, infatti, quando incontra un sito criptato da un certificato digitale di sicurezza, mostra al posto del nome del sito il nome riportato nel certificato.

Va un pochino meglio, ma non molto, con altri browser, come Google Chrome, che visualizzano il nome del sito ma gli affiancano un rassicurante lucchetto verde con la dicitura Identity Verified.

Morale della storia: non fidatevi di quello che vedete nel browser dopo aver cliccato su un link ricevuto in un messaggio di allerta. Meglio ancora, non cliccate su questo genere di link ma visitate manualmente il sito citato nel link, scrivendone il nome oppure usando i Preferiti se l’avete già salvato tra i Preferiti.

8 commenti:

Michele/ENERGIA ha detto...

A dire il vero, ho aperto il sito https://nothing.org.uk/ e Chrome mi ha scritto in rosso "sito non sicuro - errore di privacy" e nell'indirizzo, ha sbarrato la scritta https di rosso. Infine ha scritto
La connessione non è privata
Gli utenti malintenzionati potrebbero provare a carpire le tue informazioni da nothing.org.uk (ad esempio, password, messaggi o carte di credito). Ulteriori informazioni NET::ERR_CERT_REVOKED

L'errore è certificato revocato.

Patrick Costa ha detto...

Io dico di stare molto attenti anche ai preferiti, non è detto che il sito che si era salvato all'inizio, non sia stato nel frattempo modificato da virus o simili... Diversi mesi fa su diversi PC infetti (Windows) ho ritrovato la modifica dei preferiti di quei siti che permettevano di fare acquisti, amazon e ebay sono quelli che mi ricordo. La cosa era davvero poco visibile perchè il link manteneva il nome e la favicon corrette, ma l'url veniva modificato facendo puntare a tutt'altro sito clone...

Paolo Attivissimo ha detto...

Michele/ENERGIA,

A dire il vero, ho aperto il sito https://nothing.org.uk/ e Chrome mi ha scritto in rosso "sito non sicuro - errore di privacy" e nell'indirizzo, ha sbarrato la scritta https di rosso

Esatto. Il certificato era temporaneo e comunque è stato revocato. Era una dimostrazione tecnica, non un attacco reale. Comunque è rimasto attivo per qualche giorno, che è la durata tipica di un sito di phishing.

Scatola Grande ha detto...

Ecco,
la storia dei certificati rilasciati con molta disinvoltura, forse per l'alto volume di richieste, è veramente un problema.
I browser degli smartphone sembrano più vulnerabili, forse perché lo spazio di visualizzazione è più limitato o forse perché hanno meno funzionalità dei corrispondenti su desktop.

puffolottiaccident ha detto...

@Patrick Costa

Quello che consiglio io: "Il computer col quale si naviga in rete può impazzire del tutto in ogni momento. Tutto quello che gli affidate è come se lo affidaste ad un bambino di 8 anni, che per ravvivare la mattinata, non ha tasche per nascondere quello che sta portando in o dalla posta, banca, compagnia elettrica. Se seguite scrupolosamente le regole per la sicurezza diffuse da riviste come "quality gentleman" o "high maintenance lady", avrete dato al bambino uno zainetto con sopra il simbolo del dollaro."

Patrick Costa ha detto...

@puffolottiaccident bisogna sperare che chi si mette a dare consigli, lo faccia nella maniera giusta... e non giusta per lui, ma per chi riceve il consiglio...

Unknown ha detto...

Come direbbe Fantozzi, 'è una cagata pazzesca' questa cosa del dare un nome fuorviante o inadatto.

Prendiamo l'Accademia del Baccala, non sono mica degli accademici i soci! O la signora Ciccone che si fa chiamare Madonna ma non è della Sacra Famiglia.

Filippo ha detto...

Concetto molo simile qui https://stripe.ian.sh/

Quel sito potrebbe facilmente clonare le pagine di https://stripe.com/
Una volata aperto in Safari, solo un utente smaliziato sarebbe in grado di riconoscere l'inganno.