Ingegneria sociale (siti di phishing e siti ingannevoli)

Con il termine "ingegneria sociale" si indicano contenuti che inducono con l'inganno i visitatori a fare qualcosa di pericoloso, ad esempio rivelare informazioni riservate o scaricare software. Se Google rileva che il tuo sito web include contenuti di ingegneria sociale, nel browser Chrome potrebbe essere visualizzato un avviso "Sito ingannevole in vista" quando i visitatori vogliono accedere al tuo sito. Puoi controllare se Google ritiene che alcune pagine del tuo sito contengano attacchi di ingegneria sociale consultando il rapporto Problemi di sicurezza.

Apri il rapporto Problemi di sicurezza

Panoramica

Che cos'è l'ingegneria sociale?

Un attacco di ingegneria sociale consiste nell'indurre con l'inganno un utente del Web a fare qualcosa di pericoloso online.

Esistono diversi tipi di attacchi di ingegneria sociale:

  • Phishing: il sito induce con l'inganno gli utenti a rivelare le proprie informazioni personali (ad esempio password, numeri di telefono o dati delle carte di credito). In questo caso, gli autori dei contenuti fingono di essere entità attendibili, ad esempio un browser, un sistema operativo, una banca o un ente statale.
  • Contenuti ingannevoli: i contenuti cercano di indurre con l'inganno l'utente a fare qualcosa che si farebbe solo per un'entità fidata, ad esempio condividere una password, chiamare l'assistenza tecnica, scaricare software. Altre volte i contenuti mostrano un annuncio che afferma falsamente che il software del dispositivo è obsoleto, chiedendo agli utenti di installare software indesiderati.
  • Servizi di terze parti etichettati in modo non sufficiente: un servizio di terze parti gestisce un sito o un servizio per conto di un altra entità. Ad esempio tu (terza parte) gestisci un sito per conto di un'altra parte (parte proprietaria) senza chiarire il rapporto in essere: ciò potrebbe essere segnalato come ingegneria sociale. Se tu (parte prioritaria) gestisci un sito web di beneficenza che utilizza un sito web di gestione delle donazioni (terza parte) per gestire la raccolta per il tuo sito, il sito di donazione deve identificarsi chiaramente come una piattaforma di terze parti che agisce per conto del sito di beneficenza, altrimenti la collaborazione potrebbe essere considerata ingegneria sociale.

Google Navigazione sicura protegge gli utenti del Web avvisandoli prima che visitino pagine coinvolte costantemente nell'ingegneria sociale.

Le pagine web sono considerate ingegneria sociale quando:

  • Fingono di essere entità attendibili, ad esempio il tuo dispositivo o browser oppure lo stesso sito web. Oppure
  • Tentano di indurti con l'inganno a compiere un'azione che svolgeresti solo per un'entità attendibile, ad esempio condividere una password, chiamare l'assistenza tecnica o scaricare un software.

Ingegneria sociale in contenuti incorporati

L'ingegneria sociale può anche apparire in contenuti incorporati in siti altrimenti innocui, generalmente all'interno di annunci. I contenuti di ingegneria sociale incorporati rappresentano una violazione delle norme per la pagina host.

A volte i contenuti di ingegneria sociale incorporati sono visibili agli utenti nella pagina host, come mostrato negli esempi che seguono. In altri casi il sito host non contiene annunci visibili, ma indirizza gli utenti a pagine con ingegneria sociale tramite popup, pop-under o altri tipi di reindirizzamento. In entrambi i casi questo tipo di contenuti di ingegneria sociale incorporati rappresenta una violazione delle norme per la pagina host.

Ma io non ho mai fatto attacchi di ingegneria sociale!

I contenuti di ingegneria sociale ingannevoli potrebbero essere inclusi tramite risorse incorporate nelle pagine, ad esempio immagini, componenti di terze parti o annunci. Tali contenuti ingannevoli potrebbero indurre i visitatori del sito a scaricare un software indesiderato

Inoltre gli hacker potrebbero assumere il controllo di siti innocui al fine di utilizzarli per ospitare o diffondere contenuti di ingegneria sociale. L'hacker potrebbe modificare i contenuti del sito o aggiungere altre pagine, spesso con l'intento di indurre con l'inganno i visitatori a fornire informazioni personali quali i numeri delle carte di credito. Per scoprire se il tuo sito è stato identificato come sito web che ospita o diffonde contenuti di ingegneria sociale, consulta il rapporto Problemi di sicurezza di Search Console.

Leggi la nostra Guida per i siti compromessi se ritieni che il tuo sito sia stato compromesso.

Esempi di violazioni in materia di ingegneria sociale

Esempi di contenuti ingannevoli

Ecco alcuni esempi di pagine che compiono attacchi di ingegneria sociale:

Social engineering popup that tries to make the user install an unwanted application.
Popup ingannevole che induce l'utente a installare malware.
Example of social engineering attempt claiming a browser update is required
Popup ingannevole che induce l'utente ad aggiornare il browser
Pagina di accesso Google contraffatta. Nota l'URL ingannevole. Altri siti di phishing come questo potrebbero indurti a divulgare altre informazioni personali, quali i dati della carta di credito. I siti di phishing potrebbero avere esattamente lo stesso aspetto del sito reale, quindi guardando nella barra degli indirizzi, verifica che l'URL sia corretto e che il sito web inizi con https://

Esempi di annunci ingannevoli

Di seguito sono riportati alcuni esempi di contenuti ingannevoli all'interno di annunci incorporati. A prima vista questi annunci sembrano fare parte dell'interfaccia della pagina invece che sembrare annunci.

Deceptive ad claiming to be a media player update on the page.
Popup ingannevole che indica all'utente che il software non è aggiornato.
Deceptive ad claiming to be an installer for a required component.
Popup ingannevole che finge di provenire dallo sviluppatore FLV
Deceptive ads claiming to be playback controller buttons on the host page.
Annunci che si spacciano per pulsanti di azione.

Risolvere il problema

Se il tuo sito è segnalato per contenuti di ingegneria sociale (contenuti ingannevoli), assicurati che la pagina non compia attacchi con nessuna delle pratiche descritte sopra, quindi procedi come riportato di seguito:

  1. Verifica con Search Console
    • Verifica di essere il proprietario del tuo sito in Search Console e che non siano stati aggiunti nuovi proprietari sospetti.
    • Controlla il rapporto Problemi di sicurezza per vedere se il tuo sito è elencato tra i siti con contenuti ingannevoli (il termine di segnalazione per l'ingegneria sociale). Visita alcuni URL di esempio segnalati nel rapporto da un computer esterno alla rete su cui è pubblicato il tuo sito web (gli hacker più astuti potrebbero disattivare gli attacchi se pensano che il visitatore sia il webmaster del sito).
  2. Rimuovi i contenuti ingannevoli. Assicurati che nessuna pagina del tuo sito abbia contenuti ingannevoli. Se ritieni che Navigazione sicura abbia segnalato una pagina web per errore, segnalalo qui.
  3. Controlla le risorse di terze parti incluse nel tuo sito. Assicurati che le pagine del tuo sito non abbiano annunci, immagini o risorse di terze parti incorporate che risultino ingannevoli.
    • Tieni presente che le reti pubblicitarie potrebbero far ruotare gli annunci mostrati nelle pagine del tuo sito. Potresti, quindi, dover aggiornare alcune volte una pagina per visualizzare eventuali annunci di ingegneria sociale.
    • Alcuni annunci potrebbero avere un aspetto diverso sui dispositivi mobili e sui computer desktop. Puoi utilizzare lo strumento Controllo URL per visualizzare il tuo sito sia in visualizzazione mobile che desktop.
    • Segui le linee guida per il servizio di terze parti descritte di seguito per ogni servizio di terze parti che utilizzi nel tuo sito, come i servizi di pagamento.
  4. Richiedi una verifica. Dopo avere rimosso tutti i contenuti di ingegneria sociale dal tuo sito, puoi richiedere un controllo della sicurezza nel rapporto Problemi di sicurezza. Possono essere necessari diversi giorni per una verifica.

Linee guida per i servizi di terze parti

Se includi un servizio di terze parti nel tuo sito, devi soddisfare le seguenti condizioni per evitare che esso venga etichettato come ingegneria sociale:

  • Su ogni pagina, il sito di terze parti deve chiaramente includere il brand della terza parte per fare in modo che gli utenti capiscano chi gestisce il sito. Ad esempio, il brand di terze parti può essere incluso nella parte superiore della pagina.
  • In ogni pagina che contiene il branding della parte proprietaria, dichiara esplicitamente il rapporto esistente tra la parte proprietaria e la terza parte, inoltre fornisci un link che dia ulteriori informazioni.  Ad esempio, includi una dichiarazione come la seguente:

      Questo servizio è ospitato da Example.com per conto di Example.charities.com. Ulteriori informazioni

Una linea guida utile per l'usabilità è verificare se un utente che vede una singola pagina continua a comprendere su quale sito si trova e qual è la relazione tra la parte proprietaria e la terza parte.

Best practice: se vuoi avvalerti di una terza parte per l'assistenza di base per il tuo sito, una best practice consiste nell'utilizzare una terza parte standard del settore per tale servizio. Ad esempio, per gestire l'autenticazione utente sul tuo sito, dovresti utilizzare OAuth piuttosto che gestire autonomamente l'autenticazione.
È stato utile?
Come possiamo migliorare l'articolo?