Categorie
Tech

Siti falsi. Come riconoscerli evitando di essere truffati

Tempo di lettura: 3 minuti. Prima di visitare un sito web, fare acquisti o condividere informazioni in rete dovremmo sempre verificarne l’affidabilità e la sicurezza

Browser
Tempo di lettura: 3 minuti.

Truffe online e phishing sono ormai all’ordine del giorno. Pertanto, prima di visitare un sito web, fare acquisti o condividere informazioni in rete dovremmo sempre verificarne l’affidabilità e la sicurezza.

Tipologia di dati che vengono rubati

Il tipo di dati carpiti e appetibili, in genere, agli scammer sono tutte quelle informazioni che possono essere monetizzate per ottenere introiti: informazioni su carte di credito e su conti correnti bancari, credenziali, dati privati e sensibili.

Le vittime potenziali

Chiunque, potenzialmente, può cadere nel tranello teso da un sito trappola e nessuno può considerarsi escluso, poiché l’interesse dei criminali informatici non è tanto chi colpire ma i dati da carpire ed eventualmente rivendere o sfruttare in modo illecito. Non a caso i siti web fraudolenti sono progettati ad arte proprio per indurre il visitatore poco attento a concedere informazioni.

Per sapere riconoscere quando un sito web potrebbe effettivamente nascondere una truffa, essere fraudolento o essere allestito per carpire informazioni, ecco alcuni aspetti e consigli da tenere sempre ben presenti raccolti in sette punti:

  1. Il certificato SSL/TLS. Il primo elemento che bisogna prendere in considerazione per verificare la sicurezza di un sito web è sicuramente la presenza di un certificato SSL “Secure Sockets Layer”, necessario per la trasmissione di informazioni, tra il client browser e il server del sito visitato, in modo criptato e sicuro tramite l’utilizzo del protocollo HTTPS. Tuttavia questo controllo non può comunque dare da solo una completa garanzia di affidabilità ma occorrerà sempre contestualizzare il contenuto della pagina con l’URL. L’HTTPS inoltre non garantisce una protezione dei dati prima e dopo le operazioni crittografiche. Pertanto se i client ed i server coinvolti nella comunicazione fossero stati già contaminati con un malware, l’utente potrebbe essere comunque a rischio.
  2. L’indirizzo URL del sito web. Controllare sempre, come buona pratica, l’URL di una pagina web soprattutto se lo si riceve tramite collegamenti contenuti in e-mail e annunci pubblicitari oppure è ospitato su altri siti online, cercando in particolare la presenza di trattini, underscore, caratteri o parole extra inseriti negli indirizzi web stessi. Un collegamento falso può benissimo apparire molto simile a quello reale, riportando solo alcune piccole differenze. Al riguardo i criminali informatici usano spesso domini dai caratteri somiglianti ai siti web ufficiali. I siti web che si presentano come legittimi e ufficiali, ma hanno grammatica e ortografia scadenti dovrebbero mettere sempre in dubbio la relativa credibilità e attendibilità. Trattini o simboli nel nome di dominio, la presenza di grossolani errori di ortografia e di sintassi, la presenza di annunci pubblicitari invadenti possono essere tutti interpretati come dei segnali di allarme.
  3. Proprietario del dominio. WHOIS è un servizio di verifica del dominio, la cui consultazione rappresenta un metodo efficace per identificare il titolare e i dati di registrazione di un dominio. La registrazione fatta in forma anonima o la presenza di indirizzi e-mail non corrispondenti all’intestatario potrebbero essere degli elementi sospetti.
  4. Tool di verifica online. Online sono fruibili degli strumenti per la verifica della sicurezza e l’affidabilità degli URL. Tra questi i più noti sono VirusTotal un servizio che ispeziona i siti in tempo reale utilizzando servizi di terze parti adibiti alla sicurezza informatica e Google SafeBrowsing, un servizio di Google che testa e presenta un report di reputazione riguardo all’URL inserito.
  5. Pagina di contatti e informazioni. La maggior parte dei siti internet mette a disposizione degli utenti una pagina per i contatti e le informazioni da cui è possibile reperire numeri di telefono, indirizzi e-mail e ulteriori dettagli sulle attività svolte e prestazioni offerte. Se il sito non presenta né informazioni e né contatti o in alternativa, le relative pagine risultano vuote o non cliccabili è molto probabile che si tratti di un sito truffa.
  6. Le recensioni online. Un altro modo per testare l’affidabilità di un sito web è quello di verificare le recensioni lasciate online dagli altri utenti. Qualora si trovassero recensioni sulla inaffidabilità del sito o non si riuscisse a trovare nulla al riguardo, si dovrebbe procedere con cautela.
  7. Politica di restituzione e sigilli di sicurezza. Nel caso dell’e-commerce i siti dovrebbero avere una politica di restituzione che includa informazioni su come e dove restituire gli articoli acquistati qualora non rispondenti alle aspettative o difettosi e anche dei sigilli/simboli di sicurezza per l’acquisto in sicurezza. Un sito web falso probabilmente non avrà alcuna pagina di reso oppure non fornirà alcuna informazione per esercitare effettivamente tali politiche e presenterà come simboli attestanti la fiducia e la sicurezza per gli acquisti delle immagini contraffatte.

Di Salvatore Lombardo

Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. "Education improves Awareness" è il suo motto.

Pronto a supportare l'informazione libera?

Iscriviti alla nostra newsletter // Seguici gratuitamente su Google News
Exit mobile version