{"id":27981,"date":"2023-09-01T12:19:39","date_gmt":"2023-09-01T10:19:39","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=27981"},"modified":"2023-09-01T12:19:39","modified_gmt":"2023-09-01T10:19:39","slug":"how-to-spot-phishing-on-a-hacked-wordpress-website","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/how-to-spot-phishing-on-a-hacked-wordpress-website\/27981\/","title":{"rendered":"Come individuare un sito Web compromesso"},"content":{"rendered":"

Attenzione: centinaia di migliaia di siti Web sono falsi. Assomigliano ai siti autentici di negozi online, banche e servizi di spedizioni, ma hanno un solo scopo: rubare le tue password e i tuoi dati finanziari. Le vittime vengono attirate su questi siti da e-mail di phishing<\/a>, chat di messaggistica e persino annunci a pagamento<\/a>. Ma non disperare: anche se fai clic su un collegamento dannoso, potrebbe essere comunque possibile sfuggire alle grinfie dei truffatori. A patto di individuare il falso in tempo.<\/p>\n

Dove vengono ospitati i siti di phishing?<\/h2>\n

A volte i truffatori creano un nuovo speciale sito Web, registrandolo con un nome che assomiglia all\u2019originale (ad esempio, netflik.com<\/em> anzich\u00e9 netflix.com<\/em>). Per informazioni in proposito, pu\u00f2 essere utile consultare il nostro post sui nomi falsi<\/a>. Ma siti di questo tipo sono costosi da realizzare e facili da bloccare, quindi molti cybercriminali prendono una strada diversa. Violano siti legittimi su qualsiasi argomento, quindi creano le proprie sottosezioni in cui pubblicano pagine di phishing. Molto spesso sono le PMI a essere vittime di questi attacchi, perch\u00e9 non dispongono delle risorse per aggiornare e monitorare costantemente i propri siti Web. A volte una violazione di un sito pu\u00f2 passare inosservata per anni, il che \u00e8 semplicemente perfetto per i criminali informatici.<\/p>\n

Uno dei sistemi di gestione dei contenuti Web pi\u00f9 popolari \u00e8 WordPress, quindi il numero di siti compromessi sulla piattaforma raggiunge le decine di migliaia<\/a>. Tuttavia, una volta che si sa cosa cercare, non \u00e8 difficile identificare questi siti.<\/p>\n

Primo segnale di falsificazione: mancata corrispondenza tra il nome e l\u2019indirizzo del sito<\/h2>\n

Quando si visita un collegamento in un\u2019e-mail, in un post sui social media o in un annuncio, \u00e8 utile controllare l\u2019URL del sito di destinazione<\/strong>. Se si tratta di un sito compromesso, la discrepanza risulter\u00e0 evidente. Il nome del servizio che il sito finge di rappresentare potrebbe apparire da qualche parte nel percorso della directory, ma il nome di dominio sar\u00e0 completamente diverso. Ad esempio: www.medical-helpers24<\/strong>.dmn\/wp-admin\/js\/js\/Netflix<\/strong>\/home\/login.php<\/em>. <\/strong>Sappiamo perfettamente che Netflix si trova all\u2019indirizzo netflix.com<\/em>, quindi cosa ci fa su medical-helpers24<\/em>?<\/p>\n

\"Sembra

Sembra Netflix, ma l\u2019URL indica che si tratta di phishing<\/p><\/div>\n

Il controllo dell\u2019URL \u00e8 un po\u2019 pi\u00f9 difficoltoso sui dispositivi mobili, perch\u00e9 molte app aprono i collegamenti in modo tale che l\u2019indirizzo del sito non sia visibile o sia visibile solo parzialmente. In questo caso, fai clic sulla barra degli indirizzi del browser per visualizzare l\u2019indirizzo completo del sito.<\/p>\n

Secondo segnale di falsificazione: elementi del percorso della directory<\/h2>\n

Quando esamini l\u2019indirizzo completo di una pagina Web, presta attenzione alla parte finale dell\u2019URL dopo il nome di dominio. Potrebbe essere piuttosto lunga, ma concentrati solo sulle prime parti.<\/p>\n

Le sottosezioni compromesse del sito sono generalmente nascoste nelle directory dei servizi di WordPress, quindi l\u2019indirizzo molto probabilmente conterr\u00e0 elementi come \/wp-content\/<\/em>, \/wp-admin\/<\/em> o \/wp-includes\/<\/em>.<\/p>\n

Nel nostro esempio, www.medical-helpers24.dmn\/wp-admin<\/strong>\/js\/js\/Netflix\/home\/login.php<\/em>, uno di questi elementi viene subito dopo il nome di dominio, confermando i sospetti che il sito sia stato compromesso.<\/p>\n

\u00c8 probabile che l\u2019URL finisca con .php<\/em>. Le pagine con estensione .php<\/em> sono abbastanza comuni e questo di per s\u00e9 non \u00e8 un segnale di hacking. Tuttavia, in combinazione con questo percorso di directory, l\u2019estensione .php<\/em> \u00e8 una prova evidente di colpevolezza.<\/p>\n

Terzo segnale di falsificazione: il sito ha un argomento diverso<\/h2>\n

Se il nome del sito sembra sconosciuto o sospetto, puoi eseguire un controllo aggiuntivo accedendo alla home page. A tale scopo, elimina la parte finale dell\u2019URL, lasciando solo il nome del dominio. Questo dovrebbe consentire di aprire la pagina del vero proprietario del sito, che sar\u00e0 totalmente diversa dalla pagina di phishing, sia come argomento che nel design. Potrebbe anche essere in una lingua diversa, come nell\u2019esempio seguente.<\/p>\n

\"Phishing

Phishing in francese su un sito cinese<\/p><\/div>\n

I tuoi dati personali su un sito Web falso<\/h2>\n

Pu\u00f2 succedere che alcuni campi di informazioni (come l\u2019indirizzo e-mail o il numero della carta bancaria) siano precompilati correttamente anche su un sito di phishing. Ci\u00f2 significa che gli autori dell\u2019attacco sono in qualche modo entrati in possesso di un database di dati personali rubati e stanno cercando di arricchirlo con informazioni aggiuntive, come password e numeri CVV. A tale scopo, pubblicano una tabella con i dati noti sulle vittime, che spesso pu\u00f2 essere scaricata gratuitamente dal sito. Se vedi il numero della tua carta su un sito falso, blocca subito la carta, quindi pensa a misure di sicurezza aggiuntive per gli altri dati personali. Ad esempio, se la tua e-mail \u00e8 stata divulgata, proteggi l\u2019accesso all\u2019e-mail con una password pi\u00f9 complessa<\/a> e assicurati di abilitare l\u2019autenticazione a due fattori<\/a>.<\/p>\n

Come proteggersi dal phishing<\/h2>\n