Immaginate di navigare sul sito ufficiale della vostra banca o di un servizio online che utilizzate quotidianamente. La barra degli indirizzi mostra il nome corretto, il logo è quello giusto, tutto sembra in ordine. Eppure, proprio lì, sulla pagina, compare un numero di telefono di supporto... falso. Questo è l'ingegnoso e preoccupante stratagemma che alcuni truffatori hanno ideato per aggirare le più basilari precauzioni di sicurezza online, colpendo colossi come Microsoft, Apple, Bank of America, PayPal e Netflix. La truffa è maggiormente presente negli Stati uniti, ma è bene conoscere i rischi visto che qualcosa di simile potrebbe arrivare anche da noi.
Malwarebytes, un'azienda di sicurezza informatica, ha svelato questa tecnica subdola che minaccia di mettere in contatto gli utenti con malintenzionati anche quando credono di essere al sicuro. Uno dei consigli più diffusi per evitare le truffe online è sempre stato quello di controllare attentamente la barra degli indirizzi del browser, per assicurarsi di essere sul sito ufficiale.
Ma come funziona questo meccanismo? La chiave sta negli annunci Google. I truffatori acquistano spazi pubblicitari che compaiono in cima ai risultati di ricerca per termini come "Microsoft", "Apple", "HP", "PayPal", "Netflix" e altri. Google mostra solo il nome del dominio ufficiale a cui l'annuncio reindirizza, ad esempio, https://www.microsoft.com. Il trucco sta nel fatto che gli annunci possono aggiungere dei parametri invisibili all'indirizzo, a destra del dominio principale.
Quando un utente clicca sull'annuncio, la pagina ufficiale si apre, ma questi parametri aggiunti iniettano numeri di telefono fasulli direttamente nel contenuto visualizzato.
Ad esempio, un indirizzo che Google mostra come https://www.hp.com potrebbe in realtà contenere un parametro nascosto che non viene visualizzationell'annuncio, quindi l'utente non ha alcun motivo di sospettare. Cliccando, si accede al dominio corretto, ma la pagina viene modificata con il numero falso. Questa tecnica funziona sulla maggior parte dei browser e contro la maggior parte dei siti web, come dimostrato dal fatto che anche Malwarebytes.com è stato interessato, prima di implementare dei filtri per questi parametri dannosi. Segura ha sottolineato una potenziale vulnerabilità.
"Se c'è una falla di sicurezza qui, è che quando si esegue quell'URL, viene eseguita quella query sul sito web di Apple e il sito web di Apple non è in grado di determinare che non si tratti di una query legittima".
In pratica, il sito web ufficiale interpreta la query come valida e mostra il contenuto generato dai truffatori. Finora, queste attività sono state osservate solo con gli annunci di Google, ma non è escluso che piattaforme pubblicitarie simili possano essere sfruttate in futuro.
Il rischio maggiore di questa truffa è che, sebbene molti possano riconoscere il testo iniettato come falso, l'inganno potrebbe non essere così evidente per persone con problemi di vista, con declino cognitivo, o semplicemente stanche o di fretta. Una volta che la vittima chiama il numero falso, viene messa in contatto con un truffatore che si spaccia per un rappresentante dell'azienda. L'obiettivo è sempre lo stesso: estorcere dati personali, numeri di carte di credito, o ottenere accesso remoto al computer della vittima per svuotare conti bancari, come nel caso di truffe che simulano l'assistenza di PayPal.
James Gunn has a secret DCU project he refuses to tell anyone about