Quando si insegnano le basi della sicurezza informatica e in particolare come
difendersi dai ladri di password, una delle regole più importanti, ripetute
fino alla noia, è che prima di digitare la propria password bisogna sempre
verificare di essere nel sito vero e non in una sua imitazione fabbricata dai
truffatori.
Per fare questa verifica in modo facile e usabile anche da persone non
esperte, si consiglia di ignorare l’eventuale contenuto grafico della pagina
che sta chiedendo le credenziali di accesso e di guardare con attenzione il
nome del sito, ossia l’URL (quello indicato in alto nella schermata).
Per esempio, se voglio verificare di essere davvero nella schermata di login
di Google e non in quella imitata da un truffatore, dovrò controllare che in
alto ci sia scritto accounts.google.com e non
pincopallino.com oppure googIe.com.
Come ulteriore verifica, cercherò anche l’icona di un lucchetto chiuso accanto
al nome del sito: se non c’è, saprò per certo che mi trovo nel sito di
un truffatore e quindi non digiterò la mia password. Se c’è, invece, non mi
potrò fidare, perché i truffatori più abili possono fare in modo che il
lucchetto chiuso compaia; ma se manca, sarò sicuro di aver evitato un raggiro.
Semplice e pratico, insomma: due piccoli abitudini (guarda il nome, cerca il
lucchetto) che si imparano facilmente e diventano automatiche come guardare a
sinistra e a destra prima di attraversare la strada.
Ma lascia fare agli informatici: è stata pubblicata da poco una tecnica che
sovverte queste regole di sicurezza, perché è in grado di imitare quasi
perfettamente sia il nome del sito, sia la presenza del lucchetto.
Questa tecnica si chiama Browser in the Browser, abbreviato in
BITB, ed è stata
annunciata
da un ricercatore di sicurezza che si fa chiamare semplicemente
mr.d0x.
Funziona così: avete presente quelle finestre di dialogo che compaiono spesso
quando si accede la prima volta a un sito? Quelle che per evitarvi di dover
creare un account e una password appositamente vi dicono
“login con Facebook”, “login con Microsoft”, “continua con Apple”,
“collegati usando Google”
o cose simili e vi propongono appunto di usare un vostro account esistente per
il nuovo sito? Il ricercatore mostra che è estremamente semplice, per un
esperto, creare una versione fraudolenta di queste finestre di dialogo e farla
apparire sullo schermo della vittima.
Fin qui niente di speciale, ma il trucco di mr.d0x è che aggiunge alla
finestra di dialogo un bordo superiore che
imita la testata di un browser.
La vittima, di conseguenza, crede che la finestra di dialogo sia la finestra
del browser, e quando va a controllare il nome del sito e la presenza del
lucchetto, seguendo le classiche regole di sicurezza, guarda il nome del sito
mostrato nella finta testata del browser, che è sotto il controllo del
truffatore.
Il ladro di password, infatti, può far comparire in questa testata un nome di
sito a suo piacimento, per cui se vuole per esempio rubare una password di un
account Google metterà in questa falsa testata accounts.google.com. E
per di più potrà anche inserire l’icona del lucchetto, fintamente
rassicurante.
Un video pubblicato
su YouTube illustra in dettaglio il procedimento necessario per creare un sito
rubapassword che usi questa tecnica, con tanto di modelli predefiniti (anche
qui) e sito dimostrativo (Getgophish.com). La semplicità di questo metodo è preoccupante, ed è inevitabile che questa
tecnica verrà utilizzata dai truffatori e non solo dai ricercatori di
sicurezza.
Anzi,
è già stata usata
almeno una volta, nel 2020, per rubare password del servizio di distribuzione
di videogiochi Steam.
A questo punto occorre insomma aggiornare le regole di sicurezza: non basta
più controllare il nome del sito e l’eventuale assenza del lucchetto. Gli
esperti notano che c’è un modo abbastanza semplice per distinguere un sito
fraudolento che usa questa tecnica rubapassword da un sito autentico. Consiste
nel provare a spostare la finestra di dialogo: se è vera, sarà possibile
spostarla in modo che si sovrapponga alla vera testata del browser; se
è falsa, questo spostamento la farà finire sotto la vera testata. Ma
l’utente medio si ricorderà di fare ogni volta tutti questi controlli?
È improbabile, per cui si consiglia di usare un approccio differente, di
prevenzione: attivare l’autenticazione a due fattori su ogni account, usando
le istruzioni apposite facilmente reperibili in Google. In questo modo, se si
sbaglia e si digita la propria password in un sito che la ruba, i ladri non
potranno comunque prendere il controllo dell’account e si dovrà semplicemente
cambiare la password.
Come sempre, anche in informatica, prevenire è meglio che curare.