Articoli

Come capire se una mail è phishing o meglio come difendersi (e difendere anche la propria comunità) da spam e truffe, con soli 2 click, facendosi riconoscere come il super eroe del giorno

 

Lo spam è una brutta cosa, non è vero?

Il phishing – ovvero il tentativo di estorcere informazioni confidenziali come password, numeri di carte di credito e altri dati strategici – lo è anche di più.

Riconoscere una mail di spam è piuttosto semplice, ma i tentativi di phishing sono un po’ più complessi e spesso i dipendenti che lavorano nelle aziende dei miei clienti faticano a farlo, oppure non sono mai sicuri se le mail che ricevono siano reali o tentativi di phishing.

Diventa un bel casino capire se sia stato veramente “Aruba” a mandarti la mail che ti informa che il tuo dominio scade a breve oppure no.

Già mi immagino la scena …

 

Ricevi una mail con oggetto: “scadenza dominio nometuodominio” con il bel logo di aruba e un bel link per andare ad autenticarti…

E tu cosa pensi?

Accidenti, corriamo al riparo, il dominio della nostra attività sta cadendo nelle mani della concorrenza…

 

Ehh TAAACK ti hanno fregato i dati di accesso…

 

Così ho preparato per te, e per tutta la comunità di persone eticamente corrette, una guida che ti permetterà non solo di difenderti ma anche di contribuire ad un web più sicuro per tutti.

Questa guida rapida è composta di 3 passi:

  1. Passo 1: identificare se la mail è realmente phishing;
  2. Passo 2: (Opzionale): condividere con soggetti a te cari il tentativo di phishing;
  3. Passo 3: (opzionale): segnalare a Google i siti malevole in modo che siano bloccati

Procediamo con ordine:

Come capire se la mail che ho ricevuta è phishing

Ci sono diversi indizi che potrebbero farti rendere conto che la mail che hai ricevuto sia un tentativo di phishing oppure no. Ti riporto i principali:

Il mittente è palesemente un soggetto estraneo che non ha a che fare con il brand che veicola.

Se leggendo la mail, riconosci che il nome del mittente non ha nulla a che fare con il contenuto della mail, allora hai appena individuato un importante indizio. Le email di phishing ovviamente hanno tutte al loro interno un link che rimanda al sito criminale con intento di rubarti informazioni confidenziali. Ti spiego dopo come riconoscere questi link.

Il mittente sembra il mittente reale ma non lo è…

Come nel caso dell’esempio che trovi qui sotto. Uno vede quella mail ed è tentato di pensare che sia un mittente attendibile ed invece se provi a risolvere il dominio (ovvero a metterlo nella barra degli indirizzi) ti ritrovi con una pagina parcheggiata perché il dominio è in vendita e quindi il mittente non può esistere.

phishing mail

I link all’interno della mail rimandano ad un sito che chiaramente non è quello reale

Questo è sicuramente l’indizio più importante e discriminante. Ti permette di capire velocissimamente se la mail è attendibile oppure no. Scopri la destinazione del link senza cliccare: il click potrebbe portarti ad un sito che contiene un virus e infettare il tuo computer o carpire informazioni su di te così come fanno anche certi strumenti di marketing automation.

Per scoprire il link di destinazione vai sopra al link con il mouse e guarda se e dove appare l’url incriminato.

Se usi Thunderbird come faccio io, il link ti appare in basso a sx.

mail di phishing

Un metodo più complesso è aprire il sorgente della mail e leggere tutte le informazioni in esso contenute.

aruba phishing

Passo 2: Condividere con soggetti a te cari il tentativo di phishing

Non sei sicuramente obbligato a dirlo ai quattro venti, ma di sicuro contribuirà a fare in modo che ci siano meno persone (magari proprio i tuoi amici) che cadono in trappole vili come queste.

Se non lo capisci da solo/a che un ambiente più sano è meglio per tutti, non so cosa dirti…

Di fatto motivarti e sensibilizzarti in questa direzione non è lo scopo di questo articolo, per cui ti dico, più l’ambiente è malsano, più è facile che anche tu venga infettato, prima o poi.

Quindi vedi tu, il mio consiglio è quello di  scrivere una mail ai tuoi colleghi, invitandoli a non aprire quella specifica email. Ovviamente non inoltrare la mail contenente il link malevolo. Fai piuttosto uno screenshot della mail e invia quella.

 

Passo 3: Segnalare a Google i siti malevole in modo che siano bloccati

Da questa pagina puoi segnalare a Google una serie di siti “malevoli” tra cui anche i siti di phishing.

Segnala a Google un contenuto malevole > https://www.google.com/webmasters/tools/spamreport

Per poter procedere è necessario avere un account google.

Condividere questa informazione con Google ti permetterà di:

  • far in modo che il sito sia rimosso dall’indice di Google e che quindi sia più difficile da trovare (ammesso che fosse indicizzato)
  • far comparire un Alert sui principali browser che segnalano il sito come non attendibile

Infatti, a poche ore di distanza dalla mia segnalazione ecco il risultato.

sito phishing
sito phishing

Bene, anche oggi abbiamo fatto una buona azione!

 

La sicurezza delle comunicazioni tra un server web e un client server è gestito dal protocollo SSL o Secure Sockets Layer.

Se ti è sfuggito il suo significato nel nostro precedente articolo http://webenjoy.net/sviluppo-siti-web/cose-certificato-ssl-cosa-serve/), te lo riepiloghiamo rapidamente…

ssl gratis con cloudflare

Il certificato SSL protegge il flusso di informazioni tra un client server e un sito web tramite una chiave di decodifica in grado di decriptare le informazioni, il cui possesso è riservato ai soggetti coinvolti.

La dicitura “HTTPS” e l’immagine di un lucchetto sono i segni inequivocabili della presenza di un certificato SSL. I protocolli di sicurezza proteggono le informazioni e i dati sensibili degli utenti, accrescendo la sicurezza e l’affidabilità del sito web e in particolar modo di siti-ecommerce e siti che contengono informazioni come i blog.

HTTPS viene considerato positivamente anche da Google, che in ottica di migliorare la User Experience sul web, spinge i titolari di siti web all’installazione del certificato.

Leggi in merito anche
https://seo-padova.com/educazione/certificati-ssl-e-seo-la-sicurezza-del-tuo-sito-diventa-un-fattore-seo/

In precedenza, il passaggio a una connessione sicura era costoso, in quanto gestito da Autorità di certificazione e rivenditori riconosciuti. Fortunatamente Cloudflare ha rilasciato una versione gratuita, sicura e facile per siti realizzati con WordPress, permettendone un’abilitazione gratuita che opera su dominio radice (es. dominio.com) e sottodomini di primo livello (es. blog.dominio.com).

 

Ma cos’è esattamente Cloudflare?

Sostanzialmente Cloudflare è un reverse proxy cioè un server che si pone tra il server web e il visitatore, diventando l’intermediario che ridistribuisce i contenuti e permette quindi anche di accelerare e ottimizzare i siti attraverso un meccanismo di caching.

Cloudflare presenta diverse opzioni che consentono di abilitare un protocollo SSL gratis sul sito web creato con WordPress:

  • Flexible SSL –  L’abilitazione di questo protocollo crea una connessione sicura tra l’utente e Cloudflare, ma non una connessione sicura tra Cloudflare e il sito web. L’HTTPS che il visitatore vede sul sito web non coincide necessariamente con la presenza di un certificato SSL sul server.
  • Full SSL – Questa opzione crea una connessione sicura tra tutti i soggetti in gioco: visitatori, Cloudflare e server web, ma impone la presenza di un certificato SSL, anche solo self-signed.
  • Full SSL (Strict) – Questa volta la connessione tra visitatori, Cloudflare e il server web è garantita dalla presenza verificata di un certificato SSL. Il protocollo di sicurezza del server deve essere valido, firmato da un’autorità certificatrice, deve avere una data di scadenza e deve riportare il nome dominio.

Cloudflare permette un’installazione intuitiva e attraverso il plugin Flexibile SSL su WordPress ti sarà possibile sfruttarne tutte le sue potenzialità. Vediamo insieme attraverso questo tutorial in italiano:

1) Registrati e crea un account utente su Cloudflare;

2) Dopo la registrazione, inserisci il nome del dominio del sito (esempio.com)

aggiungere un sito su cloudflare

3) Premi il bottone “Begin Scan” e attendi la scansione di Cloudflare;

4) Premi il bottone “Continue Setup” ti apparirà una schermata come quella sotto;

configurazione cloudflare

Ti sarà mostrata la lista di tutti i record DNS, inclusi eventuali sottodomini. E’ il momento di scegliere quali sottodomini vuoi abilitare in Cloudflare (   ) oppure bypassare. (  ).

Tipicamente è sufficiente il Record A associato al dominio e il Record Cname associato al WWW

 

5) Seleziona il piano che desideri

seleziona un piano cloudflare

6) A questo punto devi far puntare i DNS associati al tuo dominio verso quelli forniti da cloudflare. Se trovi complessa questa operazione rivolgiti al Registrar che ha in mantenimento i tuoi domini aprendo un ticket.

nameserver cloudflare

7) Completato il punto 6, e dopo aver atteso la propagazione dei DNS (spesso solo alcune ore), accedendo nuovamente a cloudflare troverai una schermata che ti indica che cloudflare è attivo.

cloudflare attivo

Per limiti temporali, il dominio mostrato in figura non è rappresentativo del dominio di esempio del tutorial

Adesso puoi finalmente applicare il tuo servizio di criptazione

 

8) Avrai a disposizione nella parte superiore una fila di icone. Dovrai cliccare su “Crypto” e settare la voce SSL su “Flexibile”.

Dovrai attendere circa 15 minuti per l’attivazione. Potrai capire che la Flexible SSL è attiva solo quando comparirà sotto alla tendina di scelta un box verde di conferma (ACTIVE CERTIFICATE).

L’applicazione di questa impostazione implica la protezione del tuo sito web WordPress da attacchi DDoS, hacker, spammer e bot, il miglioramento di caricamento delle pagine e riduzione dei costi di banda.

 

Dopo questo semplice procedimento sarà necessario configurare anche WordPress con pochi passaggi:

  1. Lascia i campi indirizzo WordPress (URL) e indirizzo sito (URL) in modalità http per evitare che il sito cada in un redirect una volta che la piattaforma verrà caricata sotto il plugin Flexible SSL di Cloudflare.
  2. Scarica il plugin Cloudflare nel tuo pannello di amministrazione di WordPress (Flexibile SSL);
  3. Installa il plugin e attivalo tramite il pannello di plugin per WordPress, facendo attenzione a salvare le modifiche;
  4. Ora è il turno della configurazione di Cloudflare per i contenuti in HTTPS:
    • Torna sul pannello di Cloudflare e seleziona il tuo dominio;
    • Trova nel menu in alto l’icona “Page Rules”, selezionala e poi clicca sul bottone “Create Page Rule”;
    • Inserisci il dominio nella forma: http://*www.esempio.com/*;
    • Imposta la regola su “always use HTTPs” e salva tutto.
  5. È il momento di tornare al back end di WordPress per modificare l’indirizzo sito (URL) da “http://” a https://”, lasciando l’Indirizzo WordPress (URL) in http:// per evitare problemi.
  6. Finalmente è ora di verificare la riuscita dell’operazione. Dovrai constatare che il browser segnali l’URL come sicuro attraverso l’uso del lucchetto e della dicitura HTTPS.

Se ciò non avvenisse apri il sorgente della pagina (tasto destro del mouse “Visualizza Sorgente Pagina”) e controlla che non ci siano risorse all’interno che usino HTTP. Questo può accadere alle immagini oppure ad altre risorse richiamate da plugin.

Ricorda inoltre che è possibile che tu possa avere dei problemi di incompatibilità se utilizzi i CDN.

Si tratta in ogni caso di problematiche che incontreresti anche con l’istallazione di un certificato ssl a pagamento.

Insomma pochi e semplici passaggi per accaparrarsi la versione SSL gratuita di Cloudflare per siti WordPress: il tuo web WordPress sarà protetto da attacchi DDoS, hacker, spammer e bot, e migliorerà in termini di velocità.

Forse ne avrai visto già qualcuno senza sapere cos’è e a cosa serve.

SSL o Secure Sockets Layer è un protocollo utilizzato per assicurare le comunicazione tra un server web e un client server.

Sostanzialmente il certificato protegge i dati riservati e sensibili (numeri di carta di credito, codice fiscale, numero di telefono e altro), evita che vengano intercettati da terzi e garantisce su l’affidabilità e l’esistenza di un soggetto.

Quando si verifica la prima comunicazione tra client server e server web, quest’ultimo invia il proprio certificato digitale al browser di riferimento che ne verifica validità e sicurezza della connessione.

Il certificato SSL certifica che le informazioni passate siano state criptate e rese decifrabili solo al momento della connessione dei soggetti coinvolti in possesso della chiave di decodifica, l’unico strumento in grado di decriptare le informazioni.

 

Capire se un sito web è in possesso di un certificato SSL è semplice. Se sulla barra di navigazione compare la dicitura “HTTPS” invece di “HTTP” prima dell’indirizzo e spunta l’immagine di un lucchetto, allora tutte le comunicazioni con quel sito saranno protette e riservate.

 

Un esempio perfetto è la casella di posta elettronica Gmail. Forse non l’hai notato prima d’ora ma il lucchetto e la dicitura https:// che vedi garantiscono che l’organizzazione con cui stai comunicando attraverso il browser è seria e affidabile.

 

I protocolli SSL diventano garanzia di autenticazione del dominio del sito, reale identità della realtà aziendale collegata e protezione da frodi e furti, requisiti fondamentali in particolare per i siti e-commerce che consentono di acquistare mediante pagamenti online e i siti che erogano servizi online che ‘vivono’ dello scambio di informazioni private. L’obiettivo resta quello di accrescere la sicurezza e l’affidabilità del sito web.

 

Installare un certificato SSL significa escludere l’interposizione fraudolenta nelle comunicazioni tra il server web e il client server: il soggetto che tenta di porsi nel mezzo dello scambio non possiede il corrispondente certificato per accedere alle informazioni.

 

I certificati SSL vengono rilasciati da un’Autorità di Certificazione (CA o Certification Authority) o da rivenditori riconosciuti (Aruba e Trust Italia per esempio): acquisiscono tutti i dati necessari per verificare la reale esistenza del soggetto che richiede ed emettono un certificato SSL firmato con un sistema di crittografia a chiave asimmetrica pubblica e privata.

 

Le attività svolte dagli enti certificatori implicano dei costi logistici che finiscono per riversarsi anche su chi acquista un certificato. Purtroppo i certificati SSL auto-firmati o self-signed gratis non rappresentano una valida garanzia di sicurezza. Questi certificati gratuiti  servono per lo più per testare il sistema, in quanto pur essendo capaci di crittografare il traffico HTTP, obbligano i browser a mostrare un avviso di “sito non attendibile”.

Se per richiedere un certificato SSL servono solo pochi minuti proprio come qualsiasi altro prodotto, non si può dire altrettanto della fase di valutazione e scelta.

 

La varietà di certificati è davvero vasta e ogni tipo riserva un’offerta diversa legata a prezzi differenti:

  • Certificato SSL DV (Domain Validation) – Il protocollo con la sola validazione del dominio non prevede l’invio di una documentazione sull’azienda e quindi viene emesso in tempi molto rapidi.

 

  • Certificati SSL OV (Organization Validation) – Il protocollo rivela un’autenticazione a livello superiore. La validazione riguarda tanto il dominio quanto l’azienda e il brand, aumentando così la sicurezza della connessione tra browser e server. Questo tipo di certificato è perfetto per proteggere gli utenti da attacchi di tipo phishing e furti d’identità.

 

  • Certificato SSL EV (Extended Validated) – Si tratta di un certificato che richiede un processo di validazione più articolato e avanzato. La procedura di rilascio prevede la verifica dell’intera organizzazione, dall’esistenza fisica, legale e operativa all’identità ai diritti dell’impresa richiedente. Molti certificati EV permettono di incorporare il nome dell’azienda nella barra degli indirizzi del sito, colorare la barra degli indirizzi del browser di verde e ricreare un alto livello di affidabilità e sicurezza del sito.

 

  • Certificato SSL SD (Single Domain) – Il protocollo vale solo per il dominio principale del sito indicato in fase di attivazione. I tempi ridotti di rilascio e il limite di validità riduce i relativi costi, almeno rispetto agli altri tipi di certificati SSL.

 

  • Certificato SSL DVW (Domain Validated Wildcard) – Questo tipo di protocollo è ideale per proteggere un numero illimitato di sottodomini di terzo livello del sito principale (es. siti web in cui i clienti effettuano transazioni e programmi di posta elettronica che comunicano regolarmente con un altro computer o programma). In questo caso le aziende certificatrici procedono con una verifica breve dell’identità del richiedente (nome a dominio, dati del proprietario, email di verifica inviata al contatto amministrativo e altro) e con il rilascio del certificato.

 

  • Certificato SSL UC (Unified CommunicationsCertificate) – Questo certificato, conosciuto anche come SAN (Subject Alternative Names), viene utilizzato per le comunicazione unificate ovvero protegge domini anche completamente diversi sotto un solo certificato (es. server di posta che si servono di diversi domini o applicazione virtual hosting). La compatibilità dei certificati SSL SAN con i browser su dispositivi mobili (smartphone, PDA e Blackberry) scongiura l’avviso di “connessione non sicura” su tutte le piattaforme di navigazione.

 

Concludendo

Spero che questo articolo ti abbia dato maggiori informazioni su come scegliere il certificato ssl che fa al caso tuo. Se stai valutando di acquistare un certificato SSL per ragioni legate al posizionamento seo del tuo sito, vorrei rassicurarti sul fatto che potrebbe non essere necessario. Ti consiglio la lettura di questo articolo

Certificati SSL e SEO: la sicurezza del tuo sito diventa un fattore seo” che ti aiuterà a valutare e a prendere la decisione giusta.

Se hai bisogno di aiuto per l’installazione del certificato ssl rivolgiti a noi con fiducia.

 

[1] Redazione, www.register.it/ssl-certificates/

[2] Valentino Gagliardi, www.servermanaged.it/certificati-ssl/i-certificati-ssl-spiegati-al-mio-criceto/

[3] Giovanni Barbieti www.blog.artera.it/hosting-domini/certificato-ssl-tipologie

[5] Redazione, www.mvmnet.com/it/ssl/help/tipologie_di_validazione.php

[6] Redazione, www.hostingtalk.it/certificato-ssl-ev-quando-acquistarlo/

[8] The web security consultants, www.ssl247.it/certificati-ssl/categoria

Https come fattore di posizionamento

certificati ssl seo

Ancora una volta Google detta le regole a cui conformarsi per non vedere il proprio sito “penalizzato” rispetto agli altri. Non stiamo parlando delle classiche penalizzazioni già spiegate in questa sezione.. ma possiamo parlare di “fattore di posizionamento” come si evince da una delle prime dichiarazioni fornite da Google nel lontano 2014: “Https come fattore di posizionamento”.

A partire da Gennaio 2017, per aiutare gli utenti a navigare in sicurezza il web, Google Chrome, indicherà come “NON SICURE” tutte quelle pagine che raccolgono password o carte di credito.

google chrome certificati ssl

Diversamente dagli altri fattori di posizionamento, l’implementazione di un certificato SSL comporta difficoltà, rischi e costi.

 

Eh già.. costi perché in questa grande confusione in cui navigano adesso gli utenti, è necessario farsi strada e capire quale certificato ssl scegliere.

Quale certificato SSL scegliere?

In breve posso dirti che i certificati ssl sono emessi da aziende certificatrici e hanno caratteristiche differenti a seconda dalla funzione di cui necessiti.

Saltando i certificati SSL gratuiti che garantiscono la crittografia dei dati ma non essendo riconosciuti non ti permetterebbero di indicare come SICURO il tuo sito web su Google Chrome, rimangono fuori certificati il cui prezzo varia dai 15 agli oltre 1000 euro.

Ma le brutte notizie non sono terminate devi rinnovare il certificato ogni anno.

 

Quindi cosa fare? Quando è il caso di comprare un certificato SSL?

La risposta non è così semplice. Nel prendere questa decisione non dobbiamo pensare solo alle problematiche legate alla seo, al posizionamento delle pagine rispetto a determinate chiavi ma anche all’utilizzo del nostro sito e al numero di siti che possediamo e alla loro tipologia.

 

I siti e-commerce espongono i tuoi utenti a a più rischi e pertanto sarebbe opportuno acquisire un certificato EV (Extended Validated).

Mentre nel caso del piccolo blog utilizzato per educare i clienti e farti pubblicità può bastare un certificato DV (Domain Validated).

 

Il problema nasce per tutte quelle aziende o quei soggetti che possiedono numerosi siti web realizzati a scopi di marketing. Conformarsi alle richieste di Google potrebbe essere dispendioso..

 

Fonti

[1] https://webmasters.googleblog.com/2014/08/https-as-ranking-signal.html

[2] https://security.googleblog.com/2016/09/moving-towards-more-secure-web.html

[3] https://moz.com/blog/seo-tips-https-ssl

[4] https://developers.google.com/web/updates/2016/10/avoid-not-secure-warn