Gli acquirenti online sono spesso incoraggiati a garantire che i loro negozi online scelti siano “sicuri”, che la ” s ” in HTTPS sia visibile e che il browser web visualizzi un simbolo di lucchetto. Propagare questi indicatori visibili come conferma della sicurezza del sito web non è solo irresponsabile; è anche pericoloso.
Come Brian Krebs ha recentemente sottolineato su Krebs sulla sicurezza, anche negli Stati Uniti i siti web governativi e federali sono colpevoli di questa pratica, come se il lucchetto garantisse la natura ufficiale e sicura del sito. Non è il caso. Il simbolo del lucchetto e il relativo URL contenente “https” significano semplicemente che la connessione tra il browser Web e il server del sito Web è crittografata. Va bene, vero? Sì, una connessione crittografata è positiva, almeno in superficie, e implica un livello elevato di fiducia che è presumibilmente raggiunto dall’uso di un certificato SSL.
Come discusso in un precedente articolo, i certificati SSL si presentano in molte forme, dagli sforzi fai da te utilizzando OpenSSL (puoi anche essere la tua Autorità di certificazione) e quelli gratuiti da Let’s Encrypt a soluzioni acquistate da autorità di certificazione “riconosciute”. Nessuno fa altro che confermare la proprietà di un dominio e, oltre a confermare la crittografia, non conferma le pratiche di sicurezza di quel sito Web in alcun modo. Conferma che il proprietario del sito Web ha accesso amministratore al server Web e ha verificato la sua identità in un modo che varia in base al certificato SSL selezionato.
Illustriamo i passaggi necessari che gli utenti dovrebbero prendere quando decidono se fidarsi di un sito web e, in alcuni casi, quanto sia facile per i criminali informatici aggirare i cosiddetti processi di verifica.
Secondo PhishLabs, nell’ultimo trimestre di 2019, 74% dei siti Web di phishing segnalati erano “sicuri”, essendo sia HTTPS che con il simbolo del lucchetto. Potrei finire questo post proprio qui, avendo dimostrato che entrambi i criteri sono inutili in termini di sicurezza. Ma non lo farò
HTTPS Non significa nulla
L’unico vantaggio di HTTPS è che costringe più o meno le connessioni crittografate online in quanto, senza di esso, molti browser si rifiuteranno di accedere al sito e visualizzare un avviso. Se l’utente vuole ancora connettersi al “sito non sicuro”, è possibile, ma viene dato l’avviso, che scoraggerà la maggior parte degli utenti. Sfortunatamente, i criminali informatici non sono stupidi, quindi la maggior parte utilizzerà la crittografia SSL, come accennato in precedenza. Congratulazioni, ora hai una connessione crittografata diretta al sito Web di un criminale informatico, progettato specificamente per attacchi di phishing, distribuzione di malware o altre motivazioni come la raccolta dei dati.
I domini non possono essere considerati attendibili
Chiunque può impostare un sito Web con costi di hosting che vanno da sottodomini gratuiti (legittimi o hackerati) e budget a server dedicati. Alcuni domini sono affidabili più di altri, ma come Brian Krebs ha dimostrato (sì, sono un lettore regolare) ancora una volta, anche i domini .gov (riservati alle organizzazioni governative negli Stati Uniti) può essere facilmente falsificato quando coloro che cercano il dominio per truffe sono disposti a utilizzare metodi illegali. Il livello di ricerca richiesto era minimo. Presumo che i domini. mil e. edu siano più robusti, ma chi lo sa, giusto? Uno dei miei domini utilizza .com.hk ed è disponibile solo per le società registrate a Hong Kong. E ‘ stato un dolore per impostare – che richiede diverse e-mail, copie del mio certificato di registrazione aziendale, conto bancario aziendale, il mio passaporto, e dettagli di residenza. Ma almeno so che il processo è buono, che comporta un controllo incrociato con diversi dipartimenti governativi. Lo stesso non vale per .com e altri domini di primo livello, indipendentemente dalla posizione. Se qualcuno può ottenerne uno, come può aggiungere fiducia a un sito web?
La verifica Whois è per lo più inutile
Per prevenire lo spam, la maggior parte dei siti web nasconde le informazioni di contatto del sito web o, nella migliore delle ipotesi, fornisce solo contatti generali. Inoltre, il provider di hosting può essere posizionato ovunque e raramente riflette la posizione fisica del business.
La due Diligence è sempre necessaria
Come menzionato negli articoli precedenti, possiedo e mantengo alcuni siti Web a basso traffico. Sono andato con free Let’s Encrypt SSL certs (per gentile concessione del mio provider di hosting) per comodità. Al momento non ho alcun e-commerce in atto e utilizzo i gateway di pagamento e il deposito diretto ai conti aziendali come opzioni di pagamento preferite. Pertanto, non ho requisiti PCI-DSS, lasciando gli altri a gestire quell’incubo.
Tuttavia, in conformità a diverse normative (tra cui GDPR), ogni sito ha una politica dettagliata sulla privacy e sui cookie che afferma esattamente quali informazioni vengono raccolte dai visitatori del sito web. So che i miei siti seguono le best practice del settore, vengono prontamente aggiornati con patch di sicurezza e così via. Come posso garantire che i siti che visito siano ugualmente sicuri e affidabili? Ancora più importante, quali sono i rischi?
I rischi di affidarsi a HTTPS come indicazione primaria della sicurezza
I criminali informatici utilizzano HTTPS per la maggior parte e i siti Web stessi sono spesso collegati a campagne di phishing o malware. Puoi arrivare lì da un link e-mail, come risultato di una query del motore di ricerca o di un rinvio da un altro sito. Sì, sono consapevoli di SEO pure. Il fatto è, naturalmente, che possiedono i siti web in modo che possano installare tutto ciò che desiderano per rendere i loro obiettivi avere successo.
Un download gratuito potrebbe devastare il sistema o lanciare strumenti di keylogging, cliccando su un link potrebbe lanciare un programma o modificare il registro di sistema in background come finestre di notifica sono spesso volutamente evitati. Fare clic su qualsiasi cosa su questi siti potrebbe causare problemi. Infatti, anche il caricamento di una pagina web potrebbe farlo in quanto ci sono molti plugin disponibili per raccogliere i dati dei visitatori una volta che si collegano al sito. Se il tuo sistema operativo o browser Web ha una vulnerabilità (anche gli strumenti di monitoraggio dei visitatori di base possono ottenere specifiche del browser e del sistema operativo), allora sei aperto a un attacco. Avranno il tuo indirizzo IP (a meno che tu non usi una VPN) per lanciare lo strumento di hacking appropriato.
Alcuni suggerimenti e segnali di pericolo per proteggersi online
I seguenti (non un elenco esaustivo) suggerimenti ridurrà il rischio durante la navigazione web:
Aggiornamenti e patch di sicurezza per browser, sistemi operativi e software
Installali prontamente poiché hacker e penetration tester hanno accesso ai dati disponibili pubblicamente sulle vulnerabilità più recenti e possono utilizzare strumenti per scansionare quelli specifici.
Utilizza browser sicuri (con opzioni di sicurezza integrate)
La tua selezione è una preferenza personale. Io uso cinque o sei diversi browser, tra cui Brave, Firefox e Tor.
Utilizzare Addons ed estensioni per proteggere la navigazione
Aggiungere alla sicurezza del browser Web è una buona idea. Qualsiasi cosa dalla Electronic Frontier Foundation è un’aggiunta degna, così come Duckduckgo’s Privacy Essentials.
VPN
Usa una VPN per nascondere il tuo indirizzo IP effettivo e ciclarlo ogni 30 minuti circa. Anche quelli gratuiti ti nasconderanno dai criminali informatici. Fai la tua selezione saggiamente come alcune VPN semplicemente raccogliere i dati per il marketing e sono essi stessi in seguito presi di mira dagli hacker. Io uso una soluzione commerciale.
SEO
Utilizzando uno strumento come SEO Quake può fornire alcuni indizi sulla legittimità di un sito web, tra cui l’età, il numero di link esterni e interni, e molto altro ancora.
Il sito Web
I siti web sospetti spesso mancano delle basi. L’inglese potrebbe essere debole. Potrebbe mancare qualsiasi informazione reale sul proprietario del sito web, come i dettagli di contatto. In genere non richiede pagine di politica sulla privacy e sui cookie. Può spingere BitCoin o altre valute digitali come metodi di pagamento preferiti. Nella maggior parte dei casi, sarà solo sentire ‘off’ o offrire qualcosa per i prezzi troppo incredibile per essere vero. Nel clima attuale, le truffe COVID-19 sono comuni, quindi fai attenzione.
Conclusione
In conclusione, quando visiti nuovi siti web, non fare affidamento sul simbolo del lucchetto o su HTTPS. Prendi questo sito e considera perché sei qui. Progress è un marchio ben noto con una portata globale. La maggior parte di noi attenersi a marchi affermati, ma una ricerca potrebbe portare a un nuovo prodotto o fornitore di servizi. Fate la vostra due diligence prima di effettuare un acquisto o anche esplorare un nuovo sito. Cerca il nome di dominio tra virgolette e aggiungi “recensione” o “truffa” per aiutare la verifica (tenendo presente che sono possibili anche recensioni false e siti correlati). Sì, i truffatori pensano a tutto. Buona fortuna