21 dic 2018

L'HTTPS è una truffa

PRELUDIO
AVIS Autonoleggio Italia (o qualcuno che si spaccia per AVIS) mi ha mandato una mail con mittente Info.FatturazioneElettronica@abg.com invitandomi con toni perentori a cliccare su un link di e-maggiore.net per inserire i miei dati personali ai fini della fatturazione elettronica. Con mail di questo tipo in circolazione, com'è possibile educare gli utenti ai pericoli del phishing?
Io ho il forse sospetto che purtroppo la mail sia legittima, ma la cancello lo stesso, perché è la cosa giusta da fare.

SVOLGIMENTO
Però mi sono detto: facciamoglielo presente ad AVIS che mandano in giro delle mail ridicole. Quindi ho cercato se hanno un account Twitter: non ce l'hanno. Allora ho cercato il sito: avisautonoleggio.it. Mi loggo col mio account e vengo accolto da link imbarazzanti come "prenota un auto" o francamente enigmatici come "il mio zioni profilo". Il link "Contattaci" porta all'homepage: nessuna traccia di come contattare l'azienda.
La cosa peggiore, però, è che il sito, utilizzando HTTPS, viene catalogato come "sicuro" da tutti i browser. In cosa consiste questa "sicurezza"? in un certificato digitale che non specifica nemmeno il proprietario dello stesso, non fornisce nessuna informazione utile e anzi fa riferimento a un fantomatico dominio avis.fr. 
Com'è possibile, in queste condizioni, spiegare agli utenti come distinguere un sito "sicuro" da uno non sicuro?

La spinta a utilizzare HTTPS ovunque è mascherata da crociata a favore della sicurezza degli utenti mentre in realtà si tratta semplicemente di lotte di potere tra i fornitori cloud di contenuti e gli Internet Service Provider, con i primi che vogliono ottenere completo controllo sui flussi globali di traffico alle spese dei secondi. Il problema è che queste manovre hanno l'effetto di diminuire il livello di sicurezza degli utenti anziché aumentarlo. Finché saranno Mozilla, Google, Microsoft e Apple a decidere quali autorità certificatrici sono "fidate" e quali no, continueremo a vedere sitacci come quello di AVIS classificati come "sicuri", con l'effetto di diminuire la soglia di attenzione degli utenti e la loro capacità di distinguere un sito legittimo da uno pericoloso.



Nessun commento: