Come far sembrare autentico un sito falso
Basta aprire una ditta di nome ''Identity Verified''.
[ZEUS News - www.zeusnews.it - 20-12-2017]
Una delle consuetudini errate ma molto diffuse tra gli internauti è che se un sito mostra accanto al nome un lucchetto chiuso si tratta di un sito autentico e quindi vi si può immettere tranquillamente la propria password (non si tratta, insomma, di un sito-fotocopia di phishing).
Questo era abbastanza vero fino a qualche anno fa, ma in realtà oggi il lucchetto indica soltanto che la comunicazione con il sito è criptata e non è più una forma di autenticazione, perché adesso chiunque può procurarsi un certificato digitale di sicurezza (che attiva la visualizzazione del lucchetto) anche gratuitamente, come scrivevo pochi giorni fa.
Il ricercatore di sicurezza informatica James Burton ha trovato un modo ingegnoso per rendere ancora più credibile un sito falso, ed è meglio conoscerlo per non farsi ingannare.
Burton ha aperto una ditta nel Regno Unito (un'operazione molto semplice e poco costosa) e l‘ha chiamata Identity Verified. Poi si è rivolto a Symantec e si è fatto dare un certificato digitale di sicurezza per aziende intestato alla Identity Verified e associato al proprio sito personale Nothing.org.uk, con un periodo di prova gratuito di trenta giorni (il certificato è stato revocato dopo la pubblicazione dell'articolo del ricercatore). Infine ha creato sul proprio sito una copia delle pagine di login di Google e Paypal.
Risultato: una vittima che visita il sito con il proprio iPhone e Safari (per esempio perché ha cliccato su un link in una mail che finge di essere un allarme di Google o Paypal) si trova davanti quello che si aspetta, ossia la schermata di immissione password di Google o Paypal, e vede in alto, al posto del nome del sito (che potrebbe rivelare l'inganno), le parole rassicuranti Identity Verified. Parole che sembrano autenticare il sito, ma sono semplicemente il nome della ditta.
|
Il browser Safari di Apple, infatti, quando incontra un sito criptato da un certificato digitale di sicurezza, mostra al posto del nome del sito il nome riportato nel certificato.
Va un pochino meglio, ma non molto, con altri browser, come Google Chrome, che visualizzano il nome del sito ma gli affiancano un rassicurante lucchetto verde con la dicitura Identity Verified.
Morale della storia: non fidatevi di quello che vedete nel browser dopo aver cliccato su un link ricevuto in un messaggio di allerta. Meglio ancora, non cliccate su questo genere di link ma visitate manualmente il sito citato nel link, scrivendone il nome oppure usando i Preferiti se l'avete già salvato tra i Preferiti.
|
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News
ti consigliamo di iscriverti alla Newsletter gratuita.
Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui
sotto, inserire un commento
(anche anonimo)
o segnalare un refuso.
|
|
|
(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.
Commenti all'articolo (1)
24-12-2017 10:56
|
|
||
|
- Al caffe' dell'Olimpo:
Detti memorabili.. Anche scritti da voi! - Software - generale:
recupero dati - Reti:
Google stima la mia posizione in un altro
continente dall'IP - *Ubuntu:
problemi nel load della live/pc in panne/non legge
app attiv - Bufale e indagini antibufala:
Direttore rischia la pena di morte per tweet
provax! - Vecchi articoli di Zeus News:
Errori negli articoli - Social network:
Challenge causa incidente mortale - Scienze e nuove tecnologie:
GPT4All, la chatGPT che addestri come vuoi - Aiuto per i forum / La Posta di Zeus / Regolamento:
mercatino - Sicurezza:
Su outllook viene richiesto di creare un unico
account
Gladiator