HTTPS non è sempre sinonimo di sicurezza

Molte persone pensano che la connessione HTTPS sia indice di un sito sicuro. E invece viene utilizzata sempre di più sui siti dannosi, soprattutto quelli di phishing.

Diciamo la verità, la maggior parte delle persone si tranquillizza se compare il famoso lucchetto verde e la scritta “Sicuro” nella parte sinistra della barra degli indirizzi. O se compare la frase “questo sito utilizza una connessione sicura” e se soprattutto l’URL comincia per “https”. Al giorno d’oggi, sempre più siti cambiano all’HTTPS, anzi, molti non hanno scelta. E allora qual è il problema? Meglio se i siti sono sempre più sicuri, no?

Vi riveliamo un piccolo segreto: tutti quei simboli e scritte non garantiscono che si tratti di un sito Internet davvero sicuro ed esente da ogni minaccia. Una pagina di phishing, ad esempio, può avere un indirizzo https e il lucchetto verde. Come è possibile? Scopriamolo insieme.

Una connessione sicura non vuol dire che un sito sia sicuro

Il lucchetto verde indica che per il sito è stato emesso un certificato e che è stata generata una coppia di chiavi di cifratura. Questi siti cifrano le informazioni trasmesse tra l’utente e il sito. In questo caso, le URL delle pagine iniziano con HTTPS, dove la lettera S vuol dire “sicuro”.

Certamente cifrare la trasmissione dei dati è una buona pratica: in questo modo le informazioni scambiate tra il browser e il sito non sono accessibili a terze parti come ISP, amministratori di rete, intrusi etc. Si possono digitare password o numeri di carte di credito senza preoccuparsi di occhi indiscreti.

Il problema è che il lucchetto verde e il certificato non descrivono il tipo di sito. Una pagina di phishing, ad esempio, può comunque possedere un certificato e cifrare tutto il traffico in entrata e in uscita.

In poche parole, il lucchetto verde indica che dall’esterno nessuno può spiare i dati che digitate ma le vostre password possono comunque essere rubate dalla pagina se si tratta di un sito contraffatto.

Chi si occupa del phishing ne fa un gran uso: secondo i dati di Phishlabs, un quarto di tutti gli attacchi di phishing al giorno d’oggi è effettuato su siti HTTPS (due anni fa si trattava di meno dell’1%). Inoltre, oltre l’80% degli utenti ritiene che la sola presenza di un lucchetto verde e la parola “Sicuro” accanto all’URL indichino un sito sicuro e non ha nessuna remora nell’inserire i propri dati.

E se non c’è il lucchetto verde?

Se non c’è proprio il lucchetto, vuol dire che il sito non usa sistemi di cifratura e scambia informazioni con il browser mediante HTTP standard. Google Chrome ha iniziato a classificare questi siti come poco sicuri: possono anche essere immacolati, tuttavia non cifrano il traffico tra l’utente e il server. Poiché la maggior parte dei proprietari dei siti non vuole che Google etichetti i propri siti come non sicuri, sempre più pagine web stanno migrando all’HTTPS. In ogni caso, è meglio non digitare dati sensibili in un sito HTTP, perché chiunque potrebbe provare a spiarvi.

La seconda opzione è un lucchetto sbarrato da una croce in rosso e le lettere HTTPS sempre in rosso: questo simbolo indica che il sito possiede un certificato ma non è verificato o non aggiornato. In sostanza, la connessione tra voi e il server è cifrata ma nessuno può garantire che il dominio appartenga realmente alla compagnia indicata sul sito. Si tratta dell’eventualità più sospetta, perché di solito si tratta di certificati di prova.

In alternativa, può essere che il certificato sia scaduto e che il proprietario del sito non lo abbia rinnovato. I browser classificano queste pagine come non sicure, normalmente avvisando con l’icona del lucchetto rosso. In entrambi i casi, prendete questi segnali come un avvertimento, evitate questi siti e non digitate dati personali.

Come non abboccare

Per riassumere, la presenza di un certificato e di un lucchetto verde indica solamente che i dati trasmessi tra l’utente e il sito sono cifrati e che il certificato è stato emesso da una certification authority affidabile. Ma non impedisce che si possa trattare di un sito dannoso, dettaglio di cui molti cybercriminali si servono per i propri siti di phishing.

Prestate sempre attenzione, non importa quanto affidabile sembri il sito a prima vista.

  • Non digitate mai username, password, credenziali bancarie e qualsiasi altra informazione personale a meno che non siate completamente sicuri della sua autenticità. A tal proposito, verificate sempre il nome di dominio (e con molta attenzione, a volte la differenza tra un nome vero e uno falso è minima, anche di un solo carattere). E cliccate solo su link affidabili;
  • Chiedetevi sempre cosa offre quel sito in particolare, se ciò che propone sembra sospetto e se davvero avete bisogno di registrarvi;
  • Assicuratevi che i vostri dispositivi siano ben protetti. Kaspersky Internet Security analizza le URL confrontandole con un esteso database di siti di phishing e individua gli scammer indipendentemente da quanto “sicura” possa sembrare la fonte.
Consigli