Password Day #9: I siti falsi che domandano password.
In questo nuovo incontro cerchiamo di capire come individuare siti web falsi allestiti per domandarci le credenziali
Cosa comprendere (e apprendere) nella nostra nona giornata dedicata alle password?
È molto semplice, oggi, allestire un sito web falso identico all'originale, ossia con gli stessi contenuti (spesso in perfetto italiano) e la stessa grafica.
Non occorrono nemmeno particolari competenze tecnologiche, dal momento che esistono dei kit anche per non esperti (Advanced Phishing Kits).
Di solito il criminale ricrea la parte del sito web che consente la autenticazione grazie a una maschera apposita, che domanda nome-utente e password.
Tutto è identico, da un punto di vista grafico, tranne che l’indirizzo (URL) del sito, che diventa, così, l’elemento più importante da controllare e verificare per evitare di essere truffati. Particolarmente importante è il controllo dell'URL effettuato dal browsing da telefono cellulare.
Non bisogna farsi ingannare dalla perfezione della grafica del sito trappola e occorre verificare sempre dove portano i link contenuti in e-mail apparentemente autentiche o ufficiali
I casi più comuni sono richieste di codici che arrivano da messaggi apparentemente di Poste, banche, assicurazioni, hotmail e simili, PayPal ma, anche, spedizionieri, corrieri e università.
I browser più moderni, ma anche alcuni antivirus, ci avvertono se "vedono" che stiamo per collegarci a un sito chiaramente truffaldino.
Molto comuni in periodo di pandemia (ma ancora molto diffusi) sono finti siti web di spedizionieri (Poste, DHL, TNT e simili), di banche, di assicurazioni ma anche di comuni, province e servizi sanitari.
Obiettivo del password day: comprendere come operano i criminali nel creare siti truffa (ed evitarli!).