Come individuare un sito Web compromesso

Attenzione: centinaia di migliaia di siti Web sono falsi. Assomigliano ai siti autentici di negozi online, banche e servizi di spedizioni, ma hanno un solo scopo: rubare le tue password e i tuoi dati finanziari. Le vittime vengono attirate su questi siti da e-mail di phishing, chat di messaggistica e persino annunci a pagamento. Ma non disperare: anche se fai clic su un collegamento dannoso, potrebbe essere comunque possibile sfuggire alle grinfie dei truffatori. A patto di individuare il falso in tempo.

Dove vengono ospitati i siti di phishing?

A volte i truffatori creano un nuovo speciale sito Web, registrandolo con un nome che assomiglia all’originale (ad esempio, netflik.com anziché netflix.com). Per informazioni in proposito, può essere utile consultare il nostro post sui nomi falsi. Ma siti di questo tipo sono costosi da realizzare e facili da bloccare, quindi molti cybercriminali prendono una strada diversa. Violano siti legittimi su qualsiasi argomento, quindi creano le proprie sottosezioni in cui pubblicano pagine di phishing. Molto spesso sono le PMI a essere vittime di questi attacchi, perché non dispongono delle risorse per aggiornare e monitorare costantemente i propri siti Web. A volte una violazione di un sito può passare inosservata per anni, il che è semplicemente perfetto per i criminali informatici.

Uno dei sistemi di gestione dei contenuti Web più popolari è WordPress, quindi il numero di siti compromessi sulla piattaforma raggiunge le decine di migliaia. Tuttavia, una volta che si sa cosa cercare, non è difficile identificare questi siti.

Primo segnale di falsificazione: mancata corrispondenza tra il nome e l’indirizzo del sito

Quando si visita un collegamento in un’e-mail, in un post sui social media o in un annuncio, è utile controllare l’URL del sito di destinazione. Se si tratta di un sito compromesso, la discrepanza risulterà evidente. Il nome del servizio che il sito finge di rappresentare potrebbe apparire da qualche parte nel percorso della directory, ma il nome di dominio sarà completamente diverso. Ad esempio: www.medical-helpers24.dmn/wp-admin/js/js/Netflix/home/login.php. Sappiamo perfettamente che Netflix si trova all’indirizzo netflix.com, quindi cosa ci fa su medical-helpers24?

Sembra Netflix, ma l’URL indica che si tratta di phishing

Il controllo dell’URL è un po’ più difficoltoso sui dispositivi mobili, perché molte app aprono i collegamenti in modo tale che l’indirizzo del sito non sia visibile o sia visibile solo parzialmente. In questo caso, fai clic sulla barra degli indirizzi del browser per visualizzare l’indirizzo completo del sito.

Secondo segnale di falsificazione: elementi del percorso della directory

Quando esamini l’indirizzo completo di una pagina Web, presta attenzione alla parte finale dell’URL dopo il nome di dominio. Potrebbe essere piuttosto lunga, ma concentrati solo sulle prime parti.

Le sottosezioni compromesse del sito sono generalmente nascoste nelle directory dei servizi di WordPress, quindi l’indirizzo molto probabilmente conterrà elementi come /wp-content/, /wp-admin/ o /wp-includes/.

Nel nostro esempio, www.medical-helpers24.dmn/wp-admin/js/js/Netflix/home/login.php, uno di questi elementi viene subito dopo il nome di dominio, confermando i sospetti che il sito sia stato compromesso.

È probabile che l’URL finisca con .php. Le pagine con estensione .php sono abbastanza comuni e questo di per sé non è un segnale di hacking. Tuttavia, in combinazione con questo percorso di directory, l’estensione .php è una prova evidente di colpevolezza.

Terzo segnale di falsificazione: il sito ha un argomento diverso

Se il nome del sito sembra sconosciuto o sospetto, puoi eseguire un controllo aggiuntivo accedendo alla home page. A tale scopo, elimina la parte finale dell’URL, lasciando solo il nome del dominio. Questo dovrebbe consentire di aprire la pagina del vero proprietario del sito, che sarà totalmente diversa dalla pagina di phishing, sia come argomento che nel design. Potrebbe anche essere in una lingua diversa, come nell’esempio seguente.

Phishing in francese su un sito cinese

I tuoi dati personali su un sito Web falso

Può succedere che alcuni campi di informazioni (come l’indirizzo e-mail o il numero della carta bancaria) siano precompilati correttamente anche su un sito di phishing. Ciò significa che gli autori dell’attacco sono in qualche modo entrati in possesso di un database di dati personali rubati e stanno cercando di arricchirlo con informazioni aggiuntive, come password e numeri CVV. A tale scopo, pubblicano una tabella con i dati noti sulle vittime, che spesso può essere scaricata gratuitamente dal sito. Se vedi il numero della tua carta su un sito falso, blocca subito la carta, quindi pensa a misure di sicurezza aggiuntive per gli altri dati personali. Ad esempio, se la tua e-mail è stata divulgata, proteggi l’accesso all’e-mail con una password più complessa e assicurati di abilitare l’autenticazione a due fattori.

Come proteggersi dal phishing

• Stai all’erta. Per applicare efficacemente i suggerimenti precedenti, ricordati di controllare ogni collegamento su cui fai clic.
• Controlla i collegamenti prima di fare clic su di essi: per alcuni attacchi la vittima non deve fare altro che visitare il sito infetto. Sul tuo computer, puoi posizionare il puntatore del mouse su un collegamento per visualizzare l’URL di destinazione. Sul telefono, tocca e tieni premuto il collegamento per visualizzare l’URL nel menu a comparsa.
• Per gli indirizzi importanti (banche, server e-mail e così via), l’ideale è accedere tramite i segnalibri o digitando l’indirizzo manualmente, non usando i collegamenti ricevuti in messaggi e-mail.
• Installa soluzioni di protezione su tutti i computer, tablet e telefoni. Il phishing può raggiungerti su qualsiasi dispositivo, quindi usa Kaspersky Premium per proteggere tutti i tuoi strumenti digitali.