Sicurezza online: anche i truffatori utilizzano i certificati SSL

truffe_https_2b

Il sito ufficiale di PayPal Italia visualizzato su Chrome. A differenza di Firefox, da alcuni mesi Chrome non adotta più il colore verde per il lucchetto.

Negli ultimi anni, anche grazie alle iniziative promosse da Google e dal suo popolare browser Chrome (come la dicitura “Non sicuro” in tutti siti HTTP), l’utilizzo di HTTPS e dei certificati SSL è aumentato notevolmente.

Come abbiamo però visto in altre occasioni, i malintenzionati non restano certo a guardare e si adeguano ai tempi pensando ad inedite strategie per truffare gli utenti del web: l’utilizzo dei certificati su portali di phishing sembra essere uno dei più recenti trend evidenziati dagli addetti ai lavori.

Secondo i ricercatori di Phishlab, nel terzo trimestre del 2018 i siti truffa i cui indirizzi iniziavano con https:// e ponevano in bella mostra il lucchetto (padlock) hanno raggiunto il 49% del campione esaminato, con un +35% rispetto al secondo trimestre ed un +25% rispetto a dodici mesi prima.

I criminali contano ovviamente sulla scarsa cultura (in materia di sicurezza) degli utenti ma anche sulla classica distrazione della vittima di turno.

L’allarmante [fenomeno] è rilevante perché la maggior parte degli utenti sembra aver preso “sul serio” il vecchio consiglio [di dare uno sguardo al lucchetto] ed associa ancora l’icona del lucchetto ai siti legittimi. Un sondaggio condotto da PhishLabs [nel 2017] ha constatato che l’80% [del campione associava il lucchetto ad un sito legittimo e/o sicuro].

In realtà, la parte “https://” (nota anche come Secure Socket Layer o SSL) di un indirizzo sta a significare solamente che i dati trasmessi tra il browser ed il sito sono criptati e non possono essere [intercettati] da terze parti.

Analizziamo ora la seguente schermata catturata da Brian Krebs:

truffa-paypal_b

Pagina visualizzata da Firefox. Fonte: Krebs on Security.

Come è possibile notare, la pagina emula perfettamente il set di colori e l’interfaccia utilizzata dal portale ufficiale di PayPal. In alto a sinistra è visibile il padlock seguito da https, due elementi che possono trarre in inganno il visitatore convincendolo che il sito sia legittimo.

Se si osserva con attenzione la barra degli indirizzi emergono alcune stranezze, come gli elementi webscrid2367 e serveirc che destano più di un sospetto: sia per questioni di usabilità che leggibilità, sul Web si è soliti adoperare URL non troppo lunghi e sprovvisti di parole poco chiare e/o simboli particolari. Ecco la schermata di login del vero sito PayPal:

truffe_https_4b

Il form di login “legittimo” su Chrome. Si confronti l’indirizzo con quello nel precedente screen.

SSL, truffe “visive” avanzate: attenzione agli IDNs (internationalized domain names)

Una variante più sofisticata di quella appena descritta chiama direttamente in causa gli IDNs o internationalized domain names, uno standard mediante il quale è possibile utilizzare nei nomi a dominio dei caratteri provenienti da altri alfabeti come cirillico, arabo etc.

Ogni carattere “speciale”, grazie al sistema di codifica punycode che “rappresenta univocamente una sequenza di caratteri unicode tramite una sequenza di caratteri ASCII”, viene così visualizzato normalmente nella barra degli indirizzi.

L’obiettivo dei criminali è quello di “copiare” URL legittimi per indirizzare le vittime su pagine accuratamente studiate per rubare password ed altre informazioni sensibili. L’esempio riportato da Krebs mostra come il carattere speciale vietnamita “i” sia stato impiegato per imitare l’URL di un sito legittimo (bibox.com):

truffa-bibox_b

Il vero “aspetto” dell’URL mostrato dal browser è il seguente: https://www.xn--bbox-vw5a[.]com/login. Alcuni segni sono stati inseriti per non rendere cliccabile l’URL. Fonte: Krebs on Security.

Bibox.com è in realtà www.xn--bbox-vw5a[.]com ma il browser Firefox converte automaticamente la sequenza punycode ingannando l’utente. Distinguere il carattere vietnamita da una normale “i” è praticamente impossibile e le probabilità che la truffa abbia successo sono elevate.

La pericolosa svista di Firefox (correggibile dalle impostazioni*** ma si spera sia disattivata nelle prossime release) è fortunatamente un caso isolato: competitor come Safari, Chrome, Edge ed Internet Explorer hanno infatti scelto da diversi mesi di visualizzare gli IDNs nella sequenza punycode originale, neutralizzando l’insidioso trucco dei criminali.

Come visualizzare il codice punycode originale in Firefox ***

per visualizzare il codice punycode originale, digitare nella barra degli indirizzi Firefox o Tor about:config

digitare nella casella search punycode ed individuare la stringa network.IDN_show_punycode

modificare infine l’attributo da false a true.

Fonti: 1, 2.