The PracticalCyberSecGuide

Link sospetti: procedura prima del clic

Una procedura pratica prima del clic per leggere domini, sottodomini, URL abbreviati, QR code e coerenza della richiesta.

Brief operativo

Obiettivi e quadro pratico

Al termine di questo modulo, il partecipante sarà in grado di:

  1. 01

    capire perché i link sono uno degli strumenti più usati negli attacchi digitali.

  2. 02

    riconoscere i canali da cui può arrivare un link pericoloso.

  3. 03

    distinguere testo visibile, indirizzo reale, dominio, sottodominio e percorso.

  4. 04

    riconoscere domini ingannevoli, URL abbreviati, HTTPS fuorviante e QR code rischiosi.

  5. 05

    applicare una procedura ripetibile prima di cliccare o scansionare.

  6. 06

    sapere cosa fare dopo aver cliccato, inserito dati o scaricato un file sospetto.

9.1 Introduzione

In molti attacchi digitali compare un elemento ricorrente: il link. Lo usiamo ogni giorno per aprire siti, documenti, pagamenti, video, aree riservate, moduli, file cloud e servizi online. Proprio perché è normale cliccare, il link è uno strumento molto efficace per gli attaccanti.

Un link può portare a una pagina falsa, un sito che imita una banca, una falsa pagina di accesso email, un finto portale cloud, un download malevolo, un modulo per rubare dati o una pagina di pagamento fraudolenta.

Il problema principale è che un link non va giudicato solo da come appare nel messaggio. Il testo visibile può dire “accedi al tuo conto”, ma l’indirizzo reale può portare altrove. Nei pulsanti, nelle email grafiche e nei documenti questo inganno è molto comune.

Nota

Prima di cliccare, non chiederti solo “sembra vero?”. Chiediti “dove mi porta davvero e perché dovrei andarci da questo messaggio?”.

9.5 Capire la struttura di un indirizzo web

Per valutare un link bisogna capire almeno le parti principali di un indirizzo. In `https://area-clienti.bancaesempio.it/documenti/login`, il protocollo è `https://`, il sottodominio è `area-clienti`, il dominio principale è `bancaesempio.it` e il percorso è `/documenti/login`.

La parte più importante è il dominio principale. Gli attaccanti cercano spesso di confondere usando indirizzi lunghi, parole rassicuranti o nomi di servizi reali messi nel posto sbagliato.

Un indirizzo come `https://bancaesempio.it.accesso-sicuro.com/login` può sembrare legato a `bancaesempio.it`, ma il dominio reale è `accesso-sicuro.com`. La parte iniziale è costruita per confondere.

Nota

Se non riesci a capire con certezza il dominio reale, non usare quel link per inserire credenziali o dati. Apri il servizio dal sito ufficiale.

9.5.1 Dominio principale e sottodominio

Il dominio principale identifica davvero il sito. In `https://login.microsoft.com`, il dominio principale è `microsoft.com` e `login` è un sottodominio. In `https://microsoft.com.sicurezza-account.net`, invece, il dominio principale è `sicurezza-account.net`.

Questa tecnica funziona perché l’occhio vede subito il nome del servizio conosciuto e lo interpreta come segnale di fiducia. In realtà il nome può essere solo una parte costruita per ingannare.

Per utenti non tecnici, la soluzione più sicura non è analizzare ogni URL complesso, ma evitare link ricevuti per servizi importanti e accedere manualmente dal sito o dall’app ufficiale.

Esempio

Accesso da link ricevuto

Se devi entrare in email, banca, cloud o gestionale, non cercare di indovinare se il link è giusto. Usa un preferito salvato o digita l’indirizzo.

9.5.2 HTTPS non significa automaticamente sicuro

Molte persone pensano che il lucchetto o `https://` significhino sito sicuro. È un equivoco. HTTPS indica che la comunicazione tra il dispositivo e quel sito è cifrata, ma non garantisce che il sito sia legittimo.

Anche un sito falso può avere HTTPS. La connessione può essere protetta mentre la pagina è comunque controllata dall’attaccante. Il lucchetto dice qualcosa sulla connessione, non sull’onestà del sito.

HTTPS è necessario, ma non basta. Bisogna controllare dominio, contesto, richiesta e canale da cui il link è arrivato.

Attenzione

Un sito falso con lucchetto resta un sito falso. Non inserire dati solo perché vedi HTTPS.

9.5.3 Domini ingannevoli

I domini ingannevoli imitano quelli reali con sostituzioni di lettere, trattini, estensioni diverse, parole rassicuranti o nomi molto lunghi. `rn` può sembrare `m`, una `l` minuscola può sembrare una `I`, uno zero può sembrare una `o`. Un dominio come `banca-esempio-sicurezza.it` può sembrare ufficiale senza esserlo.

Parole come sicurezza, verifica, account, login, clienti, supporto, conferma, aggiornamento, pagamento e documento vengono spesso aggiunte per creare fiducia. Ma una parola rassicurante nel dominio non prova nulla.

Gli indirizzi molto lunghi sono particolarmente insidiosi perché nascondono la parte importante e spostano l’attenzione su parole familiari.

Buona pratica

Per i servizi critici, non accettare domini “quasi uguali”. Usa solo l’indirizzo ufficiale già noto.

9.5.4 Sottodomini fuorvianti

I sottodomini possono essere usati per confondere. `https://login.serviziovero.com` può essere legittimo se il dominio principale è `serviziovero.com`. Ma `https://serviziovero.com.login-sicuro.net` ha come dominio principale `login-sicuro.net`.

La parte `serviziovero.com` è presente, ma non è il dominio principale. L’attaccante conta sul fatto che l’utente legga solo la prima parte dell’indirizzo.

Quando il link è importante, non serve fare una gara di analisi. Se hai dubbi, non cliccare e raggiungi il servizio dal canale ufficiale.

Esempio

Dominio reale nascosto

Un nome noto all’inizio dell’URL non basta: devi capire chi controlla davvero il dominio principale.

9.5.5 URL abbreviati

Gli URL abbreviati, come quelli generati da servizi tipo bit.ly o simili, nascondono l’indirizzo reale. Non sono sempre pericolosi: vengono usati anche in campagne marketing o social. Il problema è che non si vede subito dove portano.

Quando un URL abbreviato arriva in un messaggio inatteso, soprattutto se riguarda banca, email, cloud, SPID/CIE, gestionali o pagamenti, va trattato con cautela. Non è adatto per inserire credenziali o dati sensibili.

Se possibile si verifica l’anteprima del link, ma per i servizi importanti la scelta più semplice resta aprire manualmente il sito ufficiale.

Nota

Un link corto non è un link più sicuro. È solo un link con la destinazione meno visibile.

9.6.1 Cosa fare se hai già cliccato

Cliccare un link sospetto non significa automaticamente che il danno sia fatto. Dipende da cosa è successo dopo. Se hai solo aperto la pagina, chiudila, non inserire dati, non scaricare file, non concedere permessi e segnala il messaggio se riguarda il lavoro.

Se hai inserito username e password, cambia subito la password da un dispositivo sicuro, cambia anche le password duplicate, revoca sessioni attive, controlla accessi recenti, verifica MFA e avvisa il referente IT se è un account aziendale.

Se hai inserito dati bancari o carta, contatta subito la banca tramite canale ufficiale, blocca carta o operazioni se necessario, controlla i movimenti e conserva prove del messaggio. Se hai scaricato o aperto un file, non continuare come se nulla fosse: avvisa chi di competenza e fai controllare dispositivo o file.

Buona pratica

Dopo un clic sospetto, la cosa peggiore è nascondere l’errore. Segnalare presto riduce il danno.

9.7 Buone abitudini per ridurre il rischio

Alcune abitudini riducono molto il rischio: usare preferiti per banca, email, cloud e gestionali; non cliccare link via SMS; non inserire password dopo link inattesi; controllare il dominio; non fidarsi solo di logo e grafica; evitare URL abbreviati per servizi importanti; verificare su canale diverso; usare MFA e mantenere browser e sistema aggiornati.

In azienda è importante formare chi riceve molti messaggi esterni e definire procedure per fatture, documenti, link cloud, pagamenti e richieste urgenti.

Esempio

SMS con accesso sospetto

Arriva un SMS: “Accesso sospetto rilevato. Verifica subito il tuo conto”. Il comportamento corretto è non cliccare, aprire l’app ufficiale della banca, controllare notifiche reali e chiamare il numero ufficiale se necessario.

Attenzione

I link via SMS vanno trattati come altamente rischiosi. Anche se sembrano arrivare da banca, corriere o servizio pubblico, usa app, sito digitato manualmente o contatto ufficiale.

Esercizio

Procedura prima del clic

Costruisci una procedura personale in sette passaggi per i link inattesi: mittente, urgenza, dominio, canale, sito ufficiale, decisione di non cliccare e segnalazione.

In sintesi

I link sono uno dei principali strumenti usati negli attacchi informatici. Possono arrivare da email, SMS, chat, social, documenti, QR code, calendari o piattaforme aziendali e portare a pagine false, download malevoli o moduli per rubare dati. La regola da portare con sé è semplice: prima di cliccare, chiediti se aspettavi quel link, chi lo ha mandato, dove porta davvero e se puoi arrivare allo stesso contenuto da un canale ufficiale.