Negli ultimi anni la presenza del lucchetto verde accanto all’indirizzo web di un sito (HTTPS) è stato comunemente considerato sinonimo di sicurezza e di legittimità del sito.
In realtà, la presenza di un certificato SSL/TLS, in grado di criptare la connessione tra il browser e il server del sito, garantisce solo che si tratta di una connessione sicura basata su protocollo SSL, ma non garantisce affatto la legittimità del sito. Inoltre la procedura per ottenere un certificato SSL è di fatto molto semplice.
Il Cyber Crime ha così trovato una nuova trappola da utilizzare per le proprie strategie criminali: registrare un nuovo dominio fornito di certificato SSL, ed ingannare così l’utente ignaro che, vedendo il classico lucchetto verde nel browser, è indotto a credere che si tratti di un sito legittimo e sicuro.
E’ proprio utilizzando questa strategia e clonando dei siti legittimi, che negli ultimi tempi si sono moltiplicate le attività di Phishing che mirano ad ottenere informazioni sensibili (come numeri di carte di credito, dati dell’home banking, credenziali di accesso alle infrastrutture aziendali, ecc.) spacciandosi per fornitori di sevizi conosciuti e affidabili.
Mail sempre più sofisticate, siti perfettamente clonati e apparentemente sicuri, rendono sempre più difficile per qualunque utente non cadere vittima di inganni ben architettati.
La miglior difesa rimane la prudenza
Di fronte alla richiesta di informazioni sensibili, la migliore difesa da adottare continua ancora ad essere la prudenza nel fornire le informazioni richieste, anche se all’apparenza tali richieste sembrano provenire da una fonte autentica.
Prima di fornirle verificare sempre con estrema attenzione il nome del dominio presente nella URL, che può fornire indicazioni importanti sulla legittimità del sito. E’ importante ricordare che è il nome presente prima del “.com” o del “.it” (ecc.) a fare fede, non bisogna mai lasciarsi ingannare da quello che compare scritto dopo, nei livelli successivi.
I criminali informatici usano spesso camuffare l’URL di destinazione utilizzando dei caratteri “inusuali”, provenienti cioè da altri alfabeti come il cirillico, l’arabo, ecc., nella speranza che il browser utilizzato li converta in caratteri ASCII, rendendoli molto somiglianti ai caratteri presenti nei domini ufficiali simulati. Per questa ragione i principali browser hanno scelto da diversi mesi di visualizzare i nomi dei domini nella sequenza di caratteri originali, senza applicare alcuna conversione. Verificare l’URL su browser diversi può pertanto essere un ulteriore garanzia di validità.
Security Awareness e allenamento al Phishing
L’aumentare continuo degli attacchi e la precisione delle tecniche di ingegneria sociale utilizzate, possono essere arginate solo attraverso delle attività di formazione costante sulla Security Awareness.
Aumentare la consapevolezza del personale non specialistico delle organizzazioni sulle minacce cyber con percorsi formativi a rilascio costante e graduale, è indubbiamente un elemento di importanza strategica per qualunque organizzazione voglia aumentare il proprio livello di sicurezza.
Altrettanto importante è la “misurazione” sul campo del livello di consapevolezza degli stessi. Per comprendere il reale grado di esposizione al rischio Phishing della propria organizzazione, diventa fondamentale utilizzare una piattaforma automatica di training anti-phishing in grado di simulare attacchi di phishing, e di adattare costantemente gli scenari di attacco sulla base degli indicatori via via rilevati.