skip to main | skip to sidebar
22 commenti

Lucchetto chiuso, icona sempre più usata dai truffatori online

Rispondete al volo: che cosa significa l’icona del lucchetto chiuso che si vede ogni tanto accanto al nome di un sito Internet? Per molti utenti significa sicurezza e autenticità. Si consiglia spesso di controllare che quest’icona sia presente prima di digitare una password o immettere dati personali in un sito, e alcune app di navigazione, come per esempio Google Chrome, visualizzano la parola “Sicuro” accanto a questo lucchetto.

Ma in realtà la parola “sicuro” è un po’ ingannevole e può creare un falso senso di fiducia che apre le porte ad alcune truffe informatiche. Questo lucchetto, infatti, non garantisce affatto che il sito sia autentico: indica soltanto che i dati che immettiamo vengono trasmessi via Internet in maniera criptata e quindi difficilissima da intercettare. Non dice nulla sull’identità e sull’affidabilità del sito.

Questo vuol dire che i truffatori possono costruire un sito che imita visivamente l’aspetto grafico di un sito famoso (per esempio quello di Facebook, di Google, di una banca o di un negozio) e poi possono inviare alla vittima una mail o un messaggio Facebook o WhatsApp per invitarla a visitare il sito fraudolento e poi digitarvi la propria password per rubargliela, con l’impressione rassicurante di trovarsi nel sito autentico perché viene visualizzato il lucchetto chiuso insieme alla parola “Sicuro.”

La vittima si salverà da questa trappola (chiamata in gergo phishing) soltanto se noterà che il nome del sito non è quello giusto. Ma sono in pochi a controllare anche il nome di ogni sito che visitano: di solito ci si ferma a controllare l’aspetto visivo del sito e la presenza del lucchetto, specialmente sugli schermi piccoli dei telefonini, e nulla più.

Secondo dati pubblicati pochi giorni fa dalla società di sicurezza PhishLabs, oggi un quarto dei siti-trappola creati dai truffatori per rubare password mostra il lucchetto chiuso. Un aumento straordinario, visto che soltanto un anno fa i siti truffaldini con questa capacità erano meno del tre per cento.

Questo boom significa che i ladri di password si sono resi conto che gli utenti abbassano le proprie difese quando vedono il lucchetto chiuso e quindi si sono attrezzati in massa per mostrarlo. Cade così una delle raccomandazioni di sicurezza più diffuse e longeve: oggi non basta più cercare il lucchetto chiuso ma bisogna anche controllare che il nome del sito sia quello giusto, ed è facile confondersi. Per esempio, il sito della vostra banca, o quello di quel negozio online che usate spesso, si scrive con o senza il trattino in mezzo?

Per evitare tutti questi rischi per fortuna c’è una soluzione: ignorare qualunque messaggio che ci inviti a cliccare su un link per visitare un sito e usare invece l’app corrispondente al sito. Per esempio, invece di seguire un link che sembra portarci ad Amazon, su smartphone e tablet ci conviene usare l’app di Amazon, che ci porta sicuramente al sito autentico. Sui computer, invece, saremo più sicuri se cliccheremo sui Preferiti, dove abbiamo registrato il nome esatto del sito in questione. Tutto qui.


Fonte aggiuntiva: Naked Security. Questo articolo è il testo preparato per il mio servizio La Rete in 3 minuti per Radio Inblu del 12 dicembre 2017.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati manualmente da un moderatore a sua discrezione: è scomodo, ma è necessario per mantenere la qualità dei commenti e tenere a bada scocciatori, spammer, troll e stupidi.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui e/o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (22)
L'aumento potrebbe essere legato al fatto che da qualche tempo è attivo il servizio Let'sEncrypt che rilascia certificati ssl immediatamente via PI e senza verifiche sull'identità del richiedente. È un servizio che ha svoltato la vita di molti addetti ai lavori sul web, ma che ovviamente rende molto più facile la vita anche ai malviventi.
Ricordo qualche tempo fa una truffa che utilizzava un trucco identico promettendo l'acquisto di buoni benzina. Apparentemente il sito sembrava affidabile, con i loghi della compagnia, https e lucchetto, perfino l'indirizzo che nonostante fosse fasullo, richiamava vagamente quello originale. Per acquistare i buoni, ovviamente, bisognava inserire i dati della carta di credito e ciao ciao soldi.

Una particolarità, nel dominio truffaldino, solo la pagina della truffa vera e propria proponeva l'acquisto dei buoni, qualunque altra pagina e la home del sito apparivano totalmente innocue
Sono in minoranza ormai, ma lo smartphone non lo uso per fare acquisti o "gestire" il conto bancario... Il mio centro tecnologico è sicuramente il PC, il telefono mi è utile come accessorio per password dispositive o verifiche in 2 passaggi. Acquisto tutto on-line, anche la spesa settimanale al Carrefour la faccio on-line, ma dovessi usare il telefono mi sentirei fortemente "perso" e poco sicuro... schermi piccoli, poca possibilità di fare controlli sui link, sugli allegati, insomma, un lucchetto fasullo sul telefono è sicuramente più facile da far risultare tale rispetto a un PC...

Sul fatto di usare i preferiti al posto di andare sul sito di riferimento, ricordo di aver visto PC di clienti infetti con i principali preferiti alterati, ebay, amazon erano tra quelli modificati puntando a siti truffa/clone, quindi anche questi vanno controllati :-)
Interessante.
Non c'avevo mai pensato, se un sito è birichino ma criptato per il browser, che in effetti non può sapere altro, è OK.

Quindi è anche bene usare un antivirus con funzione di monitoraggio di affidabilità di un sito, di modo da avere buone probabilità che la connessione al sito web venga rifiutata. Ad oggi ce l'hanno più o meno tutti.
Comunque un altro metodo sicuro è quello di digitare noi stessi l'indirizzo dei siti dove facciamo acquisti o per l'online banking, in modo da evitare fraintendimenti. Purtroppo noto spesso che soprattutto chi è arrivato di recente sulla rete (ma anche post 2000) non ha l'abitudine (leggi non lo fa mai) di digitare l'indirizzo del sito che vuole visitare, ma piuttosto ci arriva tramite Google o altri motori di ricerca. È una cosa che si nota soprattutto quando si vanno a vedere le statistiche di provenienza dei propri siti da parte dei visitatori, ma è qualcosa che vedi proprio personalmente guardando gli altri mentre navigano dai propri dispositivi
Interessantissima segnalazzione.... a questo punto, gli indirizzi https presentano lo stesso fraintendimento di significato (trasmissione dati sicura verso sito di qualsiasi sorte) oppure sono davvero sicuri?
grazie.
Ehmmm... c'è qualcosa che non mi torna.

Il lucchetto chiuso non significa solamente che la connessione è cifrata ma anche che il certificato utilizzato per la cifratura è stato a sua volta certificato da un'autorità di certificazione. Se uso un certificato creato da me, un self-signed, mi appare un allarme. Succede lo stesso se il certificato è scaduto o è stato revocato.
Non so se c'è anche il controllo sul fatto che il certificato è legato al dominio per cui il furto di un certificato valido può essere sgamato.
Può essere che qualche vecchia versione di browser non abbia tale meccanismo di allarme.
Dall'help di Google Chrome
https://support.google.com/chrome/answer/95617?visit_id=1-636486803559386637-1495810532

Non vengono citati certificati firmati
Domanda da incompetente: quando accanto al lucchetto compare anche il nome, tipo Paypal, il sito è più sicuro? Credo che abbiano un certificato di validazione estesa, ma non so se comporti delle verifiche in più.
"Sui computer, invece, saremo più sicuri se cliccheremo sui Preferiti, dove abbiamo registrato il nome esatto del sito in questione."

Fino a quando qualche virus non ci modificherà i preferiti senza che ci accorgiamo di niente in modo che il link www.BancaTruffa.com diventi www.Banca-Truffa.com e il gioco è fatto.
@Scatola

E' appunto ciò che si fa in tre nanosecondi con Let'sEncrypt di cui al commento uno di Unknown.
Ci credevo poco (a Let'sEncrypt come vero e proprio CA più che come un ausilio nel creare certificati, non a Unknown) invece pare proprio essere un CA a tutti gli effetti!
Non l'avevo mai sentito prima.
A mio avviso per le piccole transazioni il sistema migliore sono le schede prepagate, in Germania esistono delle carte di credito con 50 o 100 euri dentro, (in passato ricaricabili) le quali, così come le schede telefoniche prepagate, non permettono ad un malintenzionato di rubare più di quello che c'è dentro.

Quando compro oggetti che fuori da internet costerebbero molto di più o oggetti che addirittura non si possono acquistare fuori dalla rete, in generale pianifico una serie di acquisti quanto più vicino possibile ai fatidici 50 euri, compro la carta e svolgo i miei acquisti , in generale finisco dopo 20 minuti da quando la ho ricaricata. Se un ladro mi ruba 13,99 euri poco male. Secca, ma dargli libero accesso all' hauptziegelsschwein per fargli prelevare i soldi che servono a pagare affitto e bollette sarebbe un disastro.
scusate, mi era scappata una zeta in più.... ;)
@Max Sensi: Ottima la tua osservazione. La possibilità di pagare con Paypal è una garanzia in più che il sito è onesto. Ai phisher interessa carpire i dettagli delle carte di credito/bancomat, non effettuare una transazione con paypal. Anche perché paypal può stornare le transazioni in caso di truffa e bloccare gli account, come i circuiti delle carte di credito. Solo che per stornare una transazione con una carta di credito, ci devi andare in banca e richiederla al direttore di banca - che muove il culo solo ed esclusivamente in presenza di denuncia fatta ai carabinieri. Diciamo che per il giro banca - circuito di pagamento conta più la forma che la sostanza. Intanto i phisher inviano i dati rubati ai loro contatti in Romania/Albania/Russia che clonano su card fisici e prelevano dai bancomat. In questo modo mungono cash fino al blocco della carta. E le banche/circuiti di pagamento se ne lavano le mani, lasciandoti con il cerino in mano.

Queste considerazioni non valgono per la possibilità di pagare in bitcoin. Anche perché una volta pagati i ladri, non c'è nessuno che ti possa stornare la transazione. Rimarrà per l'eternità scritto sulla blockchain - fesso paga ladri X bitcoin. Tante grazie e alla prossima!
"usare invece l’app corrispondente al sito" aggiungerei: verificando attentamente che sia l'applicazione autentica. Visto quanto è successo con la finta applicazione di Whatsapp sul play store non bisogna mai abbassare la guardia :-(
Al momento la migliore prepagata da usare su internet è HYPE - Banca Sella, costi 0 per some entro un certo tetto. Al secondo posto, la Postepay.

@puffolottiaccident: Il discorso che fai tu per le prepagate, io lo applico da un paio di anni al credito telefonico. Ho adottato queste misure da corte marziale da quando la Tre mi attivava abbonamenti mai richiesti né desiderati. La Tre praticamente mi rubava 5 euro quando le pareva e piaceva. E una volta presi il loro customer care quasi quasi mi convinceva che 5 euro non sono poi così tanti. Vero: qualunque avvocato mi avrebbe riso in faccia per attivarsi per 5 euro. Poi l'illuminazione: carico quanto basta per il rinnovo mensile a ridosso della scadenza, massimo 2-3 euro in più. Voglio vedere che abbonamenti si inventano per scalarmi 1,79 euro dal credito!
@Unknown, guarda che le compagnie telefoniche non si fanno problemi a farti andare SOTTOCREDITO su una ricaricabile...
Si lo so, non dovrebbe esser possibile, ma per loro lo è. E parliamo anche di centinaia di euro.

Per i siti contraffatti, io digito l'indirizzo nell'apposita barra, e clicco sul primo consiglio (che dovrebbe essere il link più visitato). Quindi eventuali truffatori dovrebbero aprire centinaia di volte il sito sbagliato col mio account, per trarmi in inganno.

Ciò detto, i siti contraffatti che ho visto avevan tutti grosse ingenuità o discrepanze con l'originale, non ne ho mai visto uno fatto abbastanza bene da poterci cascare (o forse eran fatti talmente bene che ci son cascato e non mi son ancora accorto? :D )
Nel 2015 rientrai in Italia per lavoro e misi la mia SIM Vodafone nel telefonino. Viaggiavo per l'Italia ed ero molto occupato e non mi resi conto che, per 5 o 6 giorni, poiché "l'offerta era terminata" mi caricavano 7.5 EURO AL GIORNO per le telefonate e internet. Una cifra molto superiore a quella offerta ai tempi in roaming da Virgin UK.

Telefonai e protestai più volte. Furono anche molto maleducati e mi risposero che ero io a dover "rinnovare l'offerta", e che loro non avevano alcun impegno a comunicare che una certa "offerta" era terminata.

Metto il termine "offerta" tra parentesi perché è una caratteristica delle compagnie telefoniche italiane (almeno nel mondo civile o quasi) quella di rendere le tariffe prepagate assolutamente incomprensibili attraverso quest'idea dell'Offerta, contratti complicatissimi e pieni di condizioni temporanee.

Da allora non ho mai più acquistato una sim italiana, il che è un problema quando sono in Italia, visto che vengo di rado e non posso fare altro che usare una prepagata.
Amici, secondo voi perché Mercurio era il dio patrono sia del commercianti che dei ladri? :-DD
ehhh se poi il nome del sito è furbetto anche quello...
http://attivissimo.blogspot.it/search?q=homograph
Aggiungo una nota storica.

La corsa all'HTTPS, per cui anche siti come magazine o blog si sono affrettati a prendere un certificato, è iniziata nell'estate del 2014 quando Google (fonte: https://webmasters.googleblog.com/2014/08/https-as-ranking-signal.html ) ha ufficializzato l'https come un ranking signal, ossia, detto in italiano, un fattore negativo del posizionamento. Tradotto: un qualcosa che se il tuo sito non ha rischi che veda la sua visibilità nelle ricerche diminuire drasticamente. Da lì, facilmente immaginabile, la psicosi collettiva. Diciamo che Let's Encrypt ha salvato il portafogli di molti piccoli webmaster ma per l'utente finale non garantisce alcunché sull'identità e affidabilità del gestore del sito.
Tra l'altro la storia sta dimostrando che Google ha un po' bluffato ai tempi, visto che il peso dell'https (o della mancanza dello stesso) sul posizionamento di un documento web nei risultati è tutt'ora scarso se non nullo.

Ma tant'è. Avere connessioni sicure sulla maggior parte dei siti internet non è certo un male. Solo che quell'annotazione "Sicuro" in alto nel browser può ingannare davvero molti utenti.
Io vorrei chiedere invece se l'uso di un gestore di password può proteggere da questo rischio.
Se il gestore riconosce il sito compila i campi user e pwd, se mi trovo in un sito fasullo no.