Abbiamo parlato moltissimo di HTTPS per via della sua rinnovata diffusione sui siti web, e per la crescente attenzione al mondo della sicurezza informatica sul web; questa volta, pero’, dobbiamo discutere un caso piuttosto interessante e potenzialmente preoccupante che riguarda il protocollo sicuro in questione.
La diffusione di certificati HTTPS “veloci e sicuri” (e spesso altrettanto economici, o addirittura gratuiti) ha portato una conseguenza, per certi versi, facilmente prevedibile: molte persone con cattive intenzioni potranno sfruttarli per architettare nuove truffe informatiche. Se gli utenti sono da sempre abituati a fidarsi dei siti con certificati SSL, specialmente nel caso in cui debbano effettuare pagamenti online, pochi sanno che è possibile sfruttare questa diffusione di SSL gratuito o “cheap” per realizzare siti di phishing in HTTPS.
Un caso concreto viene mostrato dal sito textslashplain.com, che mostra una finta schermata di Paypal che cerca di instillare fiducia negli utenti: l’inganno in questo caso è basato sul fatto che l’URL da mobile è visibile solo parzialmente, e la sua parte iniziale farebbe pensare che si tratta di Paypal.com, quando in realtà è paypal.com-altroindirizzo.est.
La cosa preoccupante e pericolosa in questo caso è legata al fatto che il certificato è perfettamente valido, quando invece l’URL non lo è, come è possibile notare dalla schermata seguente.
Secondo l’analisi pubblicata nel sito in questione, da fine 2016 ad oggi sono stati registrati oltre 700 certificati contenenti la parola Paypal nell’hostname, ovvero installati su domini potenzialmente di phishing. Altri potenziali obiettivi sono Apple, Amazon, American Express, Google, Microsoft, per cui sarà necessario fare attenzione ai siti web a cui siamo rimandati e verificare sempre l’indirizzo completo a cui siamo commessi, specialmente se siamo da cellulare o tablet.
A riguardo, Let’s Encrypt ha espresso la propria posizione mettendo in rilievo il fatto che già dal 2015 effettuava dei controlli per evitare situazioni a rischio di questo tipo: c’è da scommettere che nel prossimo futuro questo misure di sicurezza saranno intensificate, controllando i domini associati al servizio gratuito di HTTPS dell’azienda controlli incrociati con i maggiori servizi di Safe Browsing.
(fonte)
👇 Da non perdere 👇
- 📈 Analizza Cellulari 📱
- 🔐 AI che dolor, Chat
- 🎯 Targetizza Database SQL 🗄
- 📊 Analizza Errori più comuni 📛
- 🚧 Costruisci Evergreen 📟
- 👩💻 Programma Gratis 🎉
- 💻 Configura Hosting a confronto 💑
- 🔒 Conosci Hosting reti e domini 💻
- 👩💻 Tapioca Informatica 🖥
- 💻 Iconizza Internet 💻
- 🔒 Gestisci Lavoro 🔧
- 💡 Mostra Marketing & SEO 🌪
- 🔑 Apprendi Meteo ⛅
- 🤯 Visiona Mondo Apple 🍎
- 🔍 Supervisiona Mondo Domini 🌐
- 🚀 Metti in cloud monitoraggio servizi online 📈
- 🔮 Anatomizza Nuove tecnologie 🖥
- 🔒 Antani PEC e firma digitale 📩
- 👀 Prematura Programmare 🖥
- 🎮 Lonfa Scrivere 🖋
- 🔒 Conosci Servizi di SMS 📶
- 👀 Guarda Sicurezza informatica e privacy digitale 🖥
- 🎮 Ricorda Siti web 🌎
- 🤖 Ottimizza Spiegoni 🎓
- 🧠 Neuralizza Svago 🎈
- 📡 Quantizza Usare Excel 🌀
- 🤖 Sovrascrivi Windows 😲
- 🎨 Personalizza Wireless 🚁
- 🔑 Decifra WordPress 🤵
- 💬 Il nostro canale Telegram: iscriviti
- 🟠 Come inserire Google Analytics su WordPress
- 🔵 Errore 504 HTTP Gateway timeout: da cosa dipende e come risolverlo
- 🔴 A che serve *#9900# – Launch System Dump mode
