Come identificare siti web falsi

DigiCert Blog
Dean Coclin
03-24-2021
TEMPO DI LETTURA: 4 MINUTI

Nell'era della trasformazione digitale, sapere come identificare siti web falsi non è solo utile, ma assolutamente necessario per proteggersi online. Sapere come individuare un sito web fraudolento aiuta a proteggere la tua identità personale e professionale, le tue informazioni finanziarie e gli accessi alle e-mail e ai social.

Gli scam e i furti di identità collegati al COVID-19 sono in forte aumento. Il Dipartimento della Salute e dei Servizi Umani degli Stati Uniti ha messo in guardia la popolazione in merito alle frodi correlate al Coronavirus, frodi che possono verificarsi tramite telefonate, SMS, messaggi sui social media o siti web. Anche ora che stiamo entrando nella nuova normalità, gli scam online non si fermeranno, anzi con ogni probabilità aumenteranno. Capire come verificare l'autenticità di un sito web ti aiuta a proteggerti ora e anche in futuro dai siti web falsi.

Come verificare un sito web

Verifica che l'URL sia scritto correttamente

Uno dei principali indicatori di un sito falso è un URL dall'ortografia errata. Gli autori delle frodi spesso cambiano leggermente il nome di un URL, per esempio amaz0n.com, o magari cambiano l'estensione del dominio, come amazon.org invece che amazon.com.

Controlla i sigilli sul sito

Il sigillo su un sito segnala che quel sito è autentico e in genere cliccando sul sigillo puoi scoprire maggiori informazioni sul sito web e su come è stato verificato. I sigilli che non compiono alcuna azione quando ci clicchi sopra non sono affidabili, in quanto potrebbero essere copie illecite di sigilli.

1 il sigillo sul sito DigiCert
Figura 1: il sigillo sul sito DigiCert

 

Cerca il lucchetto

Il lucchetto su un sito web indica che il sito è protetto da un certificato TLS/SSL che crittografa i dati degli utenti. Puoi trovare il lucchetto in alto a sinistra sulla barra degli indirizzi. Ci sono tre tipi di certificati TLS, ognuno dei quali presenta un lucchetto: convalida del dominio, convalida dell'azienda e convalida estesa.

  • Certificato Domain Validation: verifica la titolarità del dominio. Tuttavia, i certificati DV non forniscono informazioni sull'identificazione dell'azienda. Di conseguenza, non è consigliabile utilizzare i certificati DV per scopi commerciali.
  • Certificato Organization Validation: le aziende sono autenticate dalla CA (autorità di certificazione) nei database ufficiali di registrazione delle aziende. Questo è il certificato standard consigliato per i siti web commerciali o pubblici.
  • Certificato Extended Validation: contiene ulteriori step di convalida e offre il massimo livello di autenticazione per proteggere il tuo brand e gli utenti. Per garantire che i certificati EV contengano informazioni aziendali legittime, le CA potrebbero richiedere determinati documenti e contatti personali. Tali certificati sono usati dalle più grandi aziende mondiali per rassicurare gli utenti che il sito web è autentico e di proprietà del soggetto con cui gli utenti pensano di interagire.

Se un sito è sprovvisto di lucchetto, la maggior parte dei browser visualizzerà un'avvertenza di sito "non sicuro". In passato, era sufficiente cercare il lucchetto, ma con l'aumento delle frodi online per verificare l'affidabilità di un sito web bisogna andare oltre il semplice lucchetto.

Figura 2: come appare un sito sicuro e uno non sicuro su Chrome desktop.

 

Sito sicuro vs. sito scam

La presenza del lucchetto significa che le informazioni su un sito sono crittografate e che i browser le considerano sicure. Purtroppo, al giorno d'oggi un sito sicuro non necessariamente implica un sito web da cui è sicuro fare acquisti o con cui è sicuro condividere informazioni. Il semplice fatto che un sito abbia il lucchetto non vuol dire necessariamente che non sia un falso. Le ricerche mostrano che circa la metà dei siti falsi utilizzati per il phishing dispone attualmente di un lucchetto.

In genere, i truffatori utilizzano i certificati DV: si tratta di certificati TLS di primo livello che alcune autorità di certificazione offrono gratis, per cui per avere un lucchetto basta solo dimostrare di essere proprietari di quel sito. Con i certificati DV, non è necessario dimostrare la legittimità dell'azienda. Alle volte potrebbero usare un certificato OV o EV, ma poiché è più difficile ottenerli in quanto bisogna dimostrare che l'azienda è registrata, pagare con una carta di credito valida e rispondere alle domande di un'autorità di certificazione, la maggior parte dei criminali è scoraggiata dal fare ricorso a questi certificati.

I siti web falsi che utilizzano i certificati TLS in genere vengono scoperti, ma potrebbero comunque riuscire a creare scompiglio almeno temporaneamente.

Guarda oltre il lucchetto

Devi guardare oltre il lucchetto cliccandoci sopra per scoprire maggiori informazioni. Per un'autenticazione di livello massimo, se clicchi sul lucchetto ti comparirà la dicitura "Emesso a [Nome azienda]" con il "Certificato (Validità)". Purtroppo, questa funzionalità attualmente funziona solo sui browser desktop. Ma che si tratti di un browser mobile o desktop, il principio del guardare oltre il lucchetto per verificare un sito web è sempre lo stesso.

Fai ricorso a un website checker

Se hai dubbi, utilizza un website checker per verificare che il sito sia sicuto. Il controllo di sicurezza dei siti web ti informa di eventuali vulnerabilità del sito, se questo utilizza la crittografia e qual è il suo livello di verifica.

Altri modi per verificare un sito web

Oltre a cercare il lucchetto, il sigillo e ad analizzare l'URL con un website checker, cerca anche i seguenti altri indicatori di affidabilità di un sito:

  • Informativa sulla privacy
  • Politica sui resi
  • Contatti dell'azienda, come ad esempio numero di telefono e indirizzo
  • Controllo grammaticale e ortografico
  • Recensioni online (cerca semplicemente su Google "recensioni su [nome del sito]"

In generale, cerca di evitare gli affari che sembrano troppo convenienti per essere veri, perché con ogni probabilità non sono veri.

Cosa fare se trovi un sito falso

Se finisci su un sito fraudolento, non fornire mai informazioni sensibili come dati bancari, dati di accesso e password, codici di verifica, nome utente di Facebook o perfino il tuo nome e i tuoi contatti. Se hai dei dubbi, non fornire alcun tipo di informazione. Inoltre, non cliccare su link contenuti in e-mail sconosciute, post online o messaggi diretti. Sapere se un sito è falso ti aiuterà a capire se acquistare o meno da un sito.

Se trovi un sito falso, segnalalo a Google Safe Browsing e chiudilo immediatamente.

UP NEXT

Tre modi insospettabili per usare la PKI nelle grandi aziende e come garantire che siano tutti sicuri

5 Min

Argomenti in primo piano 

03-01-2021

Perché non c'è mai stato momento migliore per automatizzare

I am not able to find blog article
Something went wrong
Please check blog url you selected to View
I am not able to find blog article
Something went wrong
Please check blog url you selected to View