Google Chrome si assicura che non ti innamori degli URL simili

Il phishing, come probabilmente saprai, è uno dei tipi più diffusi di attacchi online ed è perfetto per i truffatori che non hanno quasi nessuna competenza tecnica. Anche se potrebbero non essere maghi del computer, i phisher hanno parecchi trucchi nella manica per assicurarti di fare clic sul collegamento, inserire le credenziali di accesso e (involontariamente) inviarli a modo loro. Il fatto è che esiste un difetto fondamentale nel classico schema di phishing.

I truffatori possono utilizzare tutti gli stratagemmi di social engineering per attirarti a visitare il modulo di accesso falso. Possono far sembrare il suddetto modulo di login identico a quello reale per indurti a credere che non c'è nulla di cui preoccuparsi. Quello che non possono fare è assicurarsi che l'indirizzo della pagina di phishing sia lo stesso di quello reale. Questo è un po 'un problema per i phisher perché i browser moderni visualizzano l'URL in una posizione di rilievo. Ciò non impedirà loro di provare, però.

Quante volte hai digitato anazon.com invece di amazon.com o gooogle.com anziché google.com? Le persone spesso fanno errori di battitura e gli hacker lo sanno. Sanno anche che se metti la tua pagina di phishing su un dominio simile a quello reale, anche gli utenti più esperti avranno troppa fretta per notare la discrepanza, specialmente se i trucchi del social engineering hanno funzionato magicamente. La tecnica di utilizzo degli URL sosia per truffare gli utenti si chiama typosquatting.

Google affronta il typosquatting

Ecco qualcosa che puoi provare a casa. Vai su Google.com e inserisci "goo gle". Sopra i risultati, dovresti visualizzare il seguente messaggio "Intendevi forse google". Per combattere il typosquatting, il gigante dei motori di ricerca sta pensando di implementare una funzionalità simile nel suo browser Chrome.

L'idea è che quando digiti facevook.com invece di facebook.com nella barra degli indirizzi e premi invio, Chrome ti chiederà se questo è davvero l'URL che stai cercando. Per vedere uno screenshot della funzione in azione, fai clic qui.

Gli avvisi sono stati implementati per la prima volta l'anno scorso in Chrome Canary, il banco di prova pubblico che Google utilizza per decidere quali funzionalità includere nella versione stabile del browser e quali tralasciare. Puoi anche attivarlo nell'ultima versione ufficiale di Chrome, ma poiché è ancora in fase sperimentale, devi abilitare il seguente indirizzo (in Google Chrome) per abilitarlo:

chrome://flags/#sosia-url-navigatore-suggerimenti-consentono

Essendo sperimentale, non sempre funziona e Google deve impegnarsi un po 'di più, motivo per cui non sappiamo ancora quando sarà disponibile per impostazione predefinita.

La nuova funzionalità può sradicare completamente il typosquatting?

Se gli ingegneri di Google riescono a perfezionarlo sufficientemente (e ci sono poche ragioni per credere di non poterlo fare), questa funzione potrebbe finire per salvare un bel po 'di persone dall'abbandonare inconsapevolmente le loro informazioni sensibili. Tuttavia, non puoi aspettarti un piccolo nastro con un suggerimento per risolvere l'intero problema.

Per uno, ci sono troppi siti Web là fuori e insegnare a Chrome a avvisare gli utenti di ogni singolo errore di battitura non è semplicemente possibile. Inoltre, i phisher hanno una serie di altri meccanismi per ingannarti e il fatto che questo tipo di truffa sia ancora così prolifico dimostra chiaramente che funzionano bene. Affidarsi esclusivamente al tuo browser per proteggerti non è una buona chiamata.