Questo sito contribuisce alla audience di Il Messaggero

Come capire se un sito è sicuro

di

Devi comprare un prodotto online e vuoi verificare il grado di di affidabilità del sito da cui intendi effettuare l’acquisto? Vuoi registrare un account su un sito Web ma non hai la certezza che le informazioni che invierai siano protette? Posso capire i tuoi dubbi: tra le tante truffe e i tentativi di phishing di cui si legge ogni giorno, è comprensibile essere restii a condividere le proprie informazioni personali online, ma ci sono delle soluzioni che possono permettere di risolvere alcuni dubbi di questo tipo e capire il grado di affidabilità di un sito.

Sia chiaro: ci sono alcuni elementi che sono impossibili da verificare per un semplice utente, come ad esempio la sicurezza del database o del server dove viene ospitato un sito, ma ci sono altri dettagli che possono essere esaminati in autonomia e permettono di avere un quadro abbastanza affidabile sul grado di affidabilità di un sito o servizio online. A cosa mi riferisco? Te lo dico subito: dedicami, dunque, solo pochi minuti del tuo tempo e lascia che ti spieghi come capire se un sito è sicuro.

Ovviamente, i miei consigli saranno di carattere generico e sta dunque a te avere del buonsenso quando navighi online: diffida dei siti che ti offrono contenuti gratuiti che normalmente dovrebbero essere a pagamento o che ti invitano a effettuare pagamenti tramite metodi non tacciabili e/o che non prevedono alcuna tutela per l’acquirente. Controlla sempre le fonti ufficiali ed evita di inserire le tue informazioni personali alla leggera in giro per la Rete o di scaricare contenuti sul tuo PC senza verificarne prima il grado di attendibilità. Tutto chiaro? Bene, allora direi che è il momento di iniziare, senza dilungarci oltre. Buona lettura e in bocca al lupo per tutto!

Indice

Verifica il protocollo di connessione

Certificato SSL Aranzulla

Il primo elemento che devi prendere in considerazione, per capire se un sito è sicuro, è la presenza del certificato SSL. Non sai cos’è? Non preoccuparti, te lo spiego subito.

Il certificato SSL (Secure Sockets Layer) è un protocollo che ha lo scopo di consentire la trasmissione delle informazioni tra due applicazioni in modo completamente sicuro e protetto, in quanto i dati vengono criptati durante il loro trasferimento, evitando, quindi, che possano essere intercettati da malintenzionati.

Con il termine “applicazione” intendo un apparato che ha come obiettivo quello di raccogliere dei dati: immagina, ad esempio, un sito Web di e-commerce che raccoglie le informazioni di pagamento durante un acquisto, per trasmetterle a un altro apparato, ad esempio la banca, che ne confermerà l’operazione e, a sua volta, invierà in modo sicuro l’esito della transazione al sito e-commerce.

Puoi capire benissimo che se stai effettuando un acquisto online su un sito Web, la presenza di un certificato SSL fa in modo che l’intera transazione avvenga in modo sicuro, senza che possa avvenire alcun furto di dati.

A questo protocollo si accosta anche l’HTTPS (HyperText Transfer Protocol over Secure Socket Layer), dicitura negli URL che stabilisce che l’indirizzo Web o l’intero sito Web è coperto da un certificato SSL, che protegge la comunicazione dei dati.

Sebbene ti abbia fatto l’esempio di un sito e-commerce, puoi capire che l’utilizzo del certificato SSL su un sito Web è importante anche in altri aspetti, come ad esempio l’accesso con le tue credenziali oppure l’invio di informazioni tramite moduli.

Insomma, in qualsiasi sito Web è importante l’utilizzo di un certificato SSL, che può essere facilmente identificato dall’icona con il lucchetto presente a fianco dell’URL, nella barra degli indirizzi del browser. Inoltre, facendo clic su questa icona, ti verrà mostrato un riquadro, tramite il quale potrai visualizzare le informazioni del certificato di sicurezza.

Sebbene, però, la presenza di un certificato SSL possa darti un’idea di sicurezza, devi anche considerare su quale sito Web stai fornendo le tue informazioni. Un certificato SSL base può essere dato a qualsiasi sito Web, grazie a Let’s Encrypt, un organismo amministrativo di carattere pubblico che si prefigge l’obiettivo di criptare tutte le comunicazioni sul Web, rilasciando gratuitamente e in modo automatico questi certificati SSL.

Ciò significa che, anche se il sito è coperto da cifratura SSL, bisogna verificare che il certificato in uso sia attendibile e non sia una possibile truffa o un tentativo di phishing. Il certificato SSL è sinonimo, infatti, di protezione dei dati, non di sicurezza e attendibilità del sito Web.

Per questo motivo, devi sempre considerare se il sito Web che stai visitando è quello ufficiale: a volte basta poco, anche un solo carattere diverso nell’URL, per essere reindirizzi a un sito Web perfettamente clonato che ha come obiettivo quello di sottrarre le informazioni degli ignari utenti.

A tal proposito, ti consiglio di continuare la lettura dei prossimi capitoli, nei quali ti parlerò di altri strumenti che puoi mettere in atto per verificare la sicurezza di un sito Web. Nel caso, invece, volessi maggiori informazioni su come non imbatterti in siti di phishing, ti consiglio di leggere la mia guida su come riconoscere un sito falso.

Verifica le recensioni di altri utenti

TrustPilot

Se il sito Web che stai visitando è munito di certificato SSL ma, nonostante ciò, non sei sicuro circa il suo grado di affidabilità , quello che puoi fare è utilizzare il servizio TrustPilot: si tratta di un aggregatore di recensioni, nel quale vengono raccolte tutte le esperienze d’uso di altri utenti, con il fine di capirne il grado di affidabilità.

È molto facile da utilizzare: devi semplicemente sfruttare il motore di ricerca che trovi in home page per digitare il nome dell’azienda o il sito Web (nel formato sito.ext, es. sito.com) di cui vuoi conoscere le recensioni. Dopo aver premuto il tasto Cerca, ti verranno mostrati i corrispondenti risultati di ricerca. Se hai digitato un URL, verrai indirizzato direttamente alla sua scheda.

Nella pagina relativa al sito Web che hai cercato, troverai un punteggio e tutte le recensioni scritte dagli altri utenti. Potrai anche utilizzare i filtri per leggere le recensioni con soltanto una stella o quelle completamente positive, per farti qualche esempio.

Ti consiglio proprio TrustPilot, perché le recensioni non possono essere rimosse dai proprietari dei siti Web o delle aziende e ciò garantisce un buon livello di trasparenza. Abbi, però, l’accortezza di fare un’analisi critica nella lettura delle recensioni, filtrando quelle che, a tuo avviso, non rispecchiano effettivamente un voto completamente negativo o, viceversa, uno positivo.

Giusto per farti un esempio, una recensione che ha un giudizio sul servizio senza che sia stata fatta alcuna argomentazione al riguardo sull’esperienza d’uso, non ha sicuramente lo stesso peso di un’altra nella quale viene descritta, anche se brevemente, il trattamento ricevuto dall’utente dalle prime fasi fino all’erogazione del servizio stesso.

Servizi per verificare la reputazione di un sito Web

MyWOT

Oltre a TrustPilot, ti possono interessare due servizi che permettono di valutare se un sito è sicuro: MyWOT e Password Checkup di Google.

MyWOT è uno strumento di valutazione della reputazione dei siti Web che può essere utilizzato dal suo sito Web ufficiale oppure tramite estensione per browser Google Chrome, Mozilla Firefox, Opera e Safari, scaricabili a questo link. È disponibile anche come app gratuita sul Play Store di Android.

Quando navighi sul Web con l’estensione MyWOT attiva, questa presenterà un’icona colorata in base all’affidabilità del sito Web. Le tipologie di colori sono: verde per affidabile, giallo per sospetto, rosso per non affidabile e grigio per indicare che il sito Web è sconosciuto e MyWOT non ha informazioni per fornire una valutazione dello stesso.

Password Checkup di Google è, invece, un’estensione per Google Chrome, presente nel Chrome Web Store, che ha lo scopo di informare l’utente se sul sito Web su cui sta navigando sono mai stati rilevati dei problemi di sicurezza rilevanti, noti a Google, che hanno reso non sicure le credenziali di accesso degli account registrati.

Finché l’icona dell’estensione è verde, significa che il sito è sicuro. Se diventa rossa, fai clic sulla stessa per leggere la segnalazione, che ti inviterà a cambiare la password dell’account per quel sito Web, se ne avessi già creato uno.

Verifica l’assenza di minacce in un URL

VirusTotal

Definire un sito Web sicuro è, da come avrai capito, un’operazione non semplice, se non vengono messi in atto diversi accorgimenti. In aggiunta alle informazioni che ti ho fornito finora, voglio segnalarti anche VirusTotal, un servizio che aggrega l’analisi di minacce da tantissimi servizi di terze parti adibiti alla sicurezza informatica, con una scansione in tempo reale. Ne esistono diversi di servizi simili a VirusTotal, ma ti consiglio di usare questo per la sua affidabilità e solidità nel tempo.

Probabilmente conosci già questo servizio, perché magari l’hai utilizzato per la scansione dei file scaricati dal Web sul PC, per sapere se erano infetti o sicuri, grazie all’integrazione dei database di tanti antivirus. Oltre a questa funzionalità, però, è possibile anche effettuare la scansione dei siti Web, tramite l’apposita scheda URL, che si tra nell’home page di VirusTotal.

Ti verrà mostrato un report di scansione, proveniente dall’analisi di molti servizi di sicurezza informatica, che ti segnalerà se un sito è pulito (Clean) oppure no, tramite un’apposita dicitura di colore rosso, a fianco di ognuno di questi servizi.

Eseguire analisi approfondite di un sito Web

ULRVoid

Sebbene VirusTotal, di cui ti ho parlato nel capitolo precedente, sia un servizio affidabile, potrebbe interessartene anche un altro, per effettuare un’analisi ancora più approfondita di un sito Web. Sto parlando di URLVoid, servizio gratuito dell’azienda italiana NoVirusThanks.

La particolarità di questo servizio è la possibilità di scansionare un sito Web, tramite l’apposita barra di ricerca in home page. Dal report ottenuto, potrai capire se un sito si trova nella blacklist di qualche servizio di sicurezza informatica o di valutazione della reputazione.

Inoltre, potrai visualizzare altre informazioni, come la posizione geografica del server o i dati WHOIS del sito Web.