Nell’articolo dedicato al Phishing abbiamo evidenziato come sostanzialmente esistano due tipologie di attacchi; un attacco mirato contro alcune specifiche persone (es.Spear Phishing) con email ben curate e credibili e un attacco composto da email dozzinali che graficamente richiamano lo stile di una banca o di una azienda, ma si smascherano facilmente essendo spesso sgrammaticate al limite del ridicolo.
Purtroppo con l’introduzione delle AI anche come strumento di hacking anche questi attacchi di phishing massivo rischiano di avere successo perché le AI permettono agli hacker di comporre un testo credibile e corretto anche in una lingua che non conoscono.
Catturata la fiducia della vittima con un testo credibile, l’attacco di phishing ruota tutto attorno ai link che vengono allegati e alla possibilità che la vittima cliccandoci sopra venga indotta ad inserire in un falso sito le proprie credenziali per accedere ad un servizio, come, ad esempio, quello del proprio conto online.
Ben inteso i link costituiscono un rischio anche durante la navigazione e non sono durante la lettura di una mail, perché possono essere introdotti in una pagina lecita, in un commento sui social o dentro un messaggio su whats-app.
Diventa quindi fondamentale avere gli strumenti per saper riconoscere quelli che possono essere link reali da quelli che non lo sono.
Prima di analizzare le componenti di un link esaminiamo come gli hacker (e non solo) nascondano i link dietro semplice frasi come ad esempio “clicca qui” o addirittura dietro un link che appare lecito. Questo è possibile perché questa possibilità è data nel linguaggio HTML.
Il testo “Clicca Qui“, ma anche il testo https:/postfinance.com , contengono entrambi un link nascosto ad un articolo di passounosecurity.ch.
Per evitare questo semplice inganno bisogna passare sopra il link, senza cliccarci sopra, e fare attenzione all’angolo inferiore sinistro delle nostra finestra, nel quale verrà evidenziato il link che veramente si nasconde dietro la nostra scritta.
Se invece stiamo usando un tablet o un telefono cellulare è importante evitare per quanto possibile di cliccare su link dei quali non siamo sicuri, perché l’unico modo di leggere il link è cliccarci su tenendo premuto sino a quando non appare un pop-up che ci invita ad aprirlo in un browser, ma attenzione che una piccola distrazione ci può mettere a rischio, quindi se c’è un link sul cellulare, evitiamo di cliccarci sopra!
Come ovvio a questo punto è necessario capire cosa si sta leggendo. Per far questo analizziamo un link ad un articolo di un ipotetico sito.
https:// svizzera. ilmiosito .com /ricerca/tag/?query=AI&view=repubblica&ref=HRHS
Possiamo individuare 5 elementi sui quali porre attenzione.
Primo Elemento – Il protocollo di comunicazione
https:// svizzera. ilmiosito .com /ricerca/tag/?query=AI&view=repubblica&ref=HRHS
Per prima cosa partendo da sinistra possiamo incontrare il protocollo utilizzato per la visualizzazione del sito in questo caso https. E’ buona norma visitare solo siti che propongano il protocollo https e non la sua controparte http nella quale i dati tra noi e il sito vengono scambiati in chiaro e quindi potenzialmente leggibili a chiunque.
Quindi se il link comincia con http:// e non https:// drizziamo le orecchie perché c’è qualcosa di strano.
Secondo Elemento – il TLD, Top Level Domain
https:// svizzera. ilmiosito .com /ricerca/tag/?query=AI&view=repubblica&ref=HRHS
Il TLD è l’elemento che permette di caratterizzare per collocazione geografica o argomento un sito internet; sono quindi elementi TLD i vari .ch, .com, .it, .info e cosi via.
Può capitare che un hacker registri un sito, ma sotto un TLD differente, ad esempio invece di passounosecurity.ch, passounosecurity.ru o passounosecurity.sn.
In questo caso accorgersi dell’inganno è particolarmente difficile, ma di regola se il link della banca svizzera che ci viene proposto ha TLD esotici come .ru (russia), .sn (senegal) forse è il caso di dubitare e quindi non cliccarci sopra!!!
Terzo Elemento: il dominio
https:// svizzera. ilmiosito .com /ricerca/tag/?query=AI&view=repubblica&ref=HRHS
il dominio è rappresentato dal sito vero e proprio ossia ilmiosito.
In questo caso per difendersi occorre leggere molto bene il link per evitare di cascare nell’inganno del typo-squatting una tecnica che modifica il nome del sito sfruttando la t3nd3nza del nostro cervello a correggere inconsciamente gli errori ortografici mentre leggiamo. Nella figura sotto sono elencati i più comuni inganni del typo-squatting.
L’ultimo esempio è decisamente particolare e occorre approfondirlo meglio. Generalmente i domini (siti) vengono registrati usando l’alfabeto latino che tutti noi conosciamo, ma possono essere registrati anche in altre lingue o mischiando alfabeti diversi. Per questo motivo un hacker potrebbe in via teorica registrare il sito google.com, usando le O dell’alfabeto cirillico e non quelle dell’alfabeto latino. Noi leggeremo sempre google.com, ma un computer percepirebbe la differenza indirizzandoci sul sito dell’hacker e non sul sito che vorremmo realmente raggiungere.
Quarto elemento: il sotto-dominio
Per ragioni organizzative spesso un dominio(sito) può essere diviso in vari sotto-domini che vengono scritti a sinistra del dominio separati da un punto. In questo caso bisogna sempre far attenzione a cosa c’è scritto nel sotto-dominio.
helpdesk.google.com è un sotto-dominio di google.com, quindi possiamo stare tranquilli.
google.helpdesk.com al contrario, non è un sotto-dominio del sito google.com, ma il sotto-dominio “google” del sito helpdesk.com.
Quindi noi ingenuamente pensiamo di visitare il sito dell’helpdesk di google, ma nella realtà stiamo navigando su un altro sito. Quindi attenzione ai sottodomini!
In ultimo di un link fa parte tutto ciò che sta a destra del TLD. In questo caso è abbastanza inutile leggere cosa c’è scritto perché capita di imbattersi in testi chilometrici che servono al sito per identificare una specifica risorsa al suo interno come nel caso del link di cui sotto che useremo per fare un po’ di esercizio.
https:/ricerca.repubblica.it/ricerca/repubblica?query=AI&view=repubblica&ref=HRHS
- https: è il nostro protocollo sicuro.
- .it: è il nostro TLD di un sito di informazione italiano.
- repubblica : è il nostro dominio.
- ricerca : è il nostro sotto-dominio.
- /ricerca/repubblica?query=AI&view=repubblica&ref=HRHS : è il contenuto che stavamo cercando.
http:/repubblica.ricerca.sn/ricerca/repubblica?query=AI&view=repubblica&ref=HRHS
- http : è un protocollo che non dovremmo mai usare…
- .sn : un TLD senegalese per un sito italiano? Qualcosa qui non va!
- ricerca : è il nostro dominio, ma io volevo andare su repubblica.it, non su ricerca.sn!!!
- repubblica : è il sotto-dominio di ricerca…
- /ricerca/repubblica?query=AI&view=repubblica&ref=HRHS : è il contenuto che ci viene proposto e anche in questo caso difficile da questo capire se un link sia lecito o meno.
Ora abbiamo tutto gli elementi per capire quanto un link è sospetto e quando invece possiamo con tranquillità cliccarci sopra.
