Aggiornato il: 28-02-2019 17:36
Abbiamo parlato moltissimo di HTTPS per via della sua rinnovata diffusione sui siti web, e per la crescente attenzione al mondo della sicurezza informatica sul web; questa volta, pero’, dobbiamo discutere un caso piuttosto interessante e potenzialmente preoccupante che riguarda il protocollo sicuro in questione.
La diffusione di certificati HTTPS “veloci e sicuri” (e spesso altrettanto economici, o addirittura gratuiti) ha portato una conseguenza, per certi versi, facilmente prevedibile: molte persone con cattive intenzioni potranno sfruttarli per architettare nuove truffe informatiche. Se gli utenti sono da sempre abituati a fidarsi dei siti con certificati SSL, specialmente nel caso in cui debbano effettuare pagamenti online, pochi sanno che è possibile sfruttare questa diffusione di SSL gratuito o “cheap” per realizzare siti di phishing in HTTPS.
Un caso concreto viene mostrato dal sito textslashplain.com, che mostra una finta schermata di Paypal che cerca di instillare fiducia negli utenti: l’inganno in questo caso è basato sul fatto che l’URL da mobile è visibile solo parzialmente, e la sua parte iniziale farebbe pensare che si tratta di Paypal.com, quando in realtà è paypal.com-altroindirizzo.est.
La cosa preoccupante e pericolosa in questo caso è legata al fatto che il certificato è perfettamente valido, quando invece l’URL non lo è, come è possibile notare dalla schermata seguente.
Secondo l’analisi pubblicata nel sito in questione, da fine 2016 ad oggi sono stati registrati oltre 700 certificati contenenti la parola Paypal nell’hostname, ovvero installati su domini potenzialmente di phishing. Altri potenziali obiettivi sono Apple, Amazon, American Express, Google, Microsoft, per cui sarà necessario fare attenzione ai siti web a cui siamo rimandati e verificare sempre l’indirizzo completo a cui siamo commessi, specialmente se siamo da cellulare o tablet.
A riguardo, Let’s Encrypt ha espresso la propria posizione mettendo in rilievo il fatto che già dal 2015 effettuava dei controlli per evitare situazioni a rischio di questo tipo: c’è da scommettere che nel prossimo futuro questo misure di sicurezza saranno intensificate, controllando i domini associati al servizio gratuito di HTTPS dell’azienda controlli incrociati con i maggiori servizi di Safe Browsing.
(fonte)
Ingegnere per passione, consulente per necessità, docente di informatica; ho creato Trovalost.it e ho scritto quasi tutti i suoi contenuti. Ogni guida viene revisionata e aggiornata periodicamente. Per contatti clicca qui
