Martedì 30 marzo 2010
Nel nostro recente post nel blog sulla sicurezza online di Google abbiamo descritto il nostro sistema per identificare le pagine di phishing. Tra i milioni di pagine web analizzate dai nostri sistemi di scansione alla ricerca di phishing, identifichiamo correttamente 9 pagine di phishing su 10; il nostro sistema di classificazione segnala erroneamente un sito valido come sito di phishing circa 1 volta su 10.000, un valore di gran lunga migliore rispetto a sistemi simili. In base alla nostra esperienza, questi siti "falsi positivi" in genere sono creati per distribuire spam oppure potrebbero essere coinvolti in altre attività sospette. Se ritenete che il vostro sito sia stato aggiunto per errore al nostro elenco di pagine di phishing ("Contraffazione web segnalata"), segnalateci l'errore. D'altra parte, se il vostro sito è stato aggiunto al nostro elenco di malware ("Questo sito potrebbe danneggiare il tuo computer"), dovreste seguire le istruzioni su come risolvere i problemi con i malware. Il nostro team cerca di rispondere a tutti i reclami entro un giorno e solitamente rispondiamo nel giro di qualche ora.
Purtroppo, quando proviamo a dare seguito alle vostre segnalazioni, a volte scopriamo di essere confusi tanto quanto il nostro sistema automatico. Se gestite un sito web, di seguito sono riportate alcune semplici linee guida che ci aiuteranno a correggere rapidamente eventuali errori e a evitare che il vostro sito non venga incluso dal nostro elenco di pagine di phishing.
Non richiedete nomi utente e password che non appartengono al vostro sito
Consideriamo questo comportamento come phishing, quindi non adottatelo. Se volete fornire un servizio aggiuntivo per un altro sito, valutate la possibilità di utilizzare un'API pubblica o OAuth.
Evitate di mostrare loghi non vostri vicino ai campi usati per eseguire l'accesso.
Un utente che naviga sul Web potrebbe credere erroneamente che il logo rappresenti il vostro sito web e potrebbe essere indotto in modo ingannevole a inserire nel vostro sito informazioni personali che intendeva utilizzare per l'altro sito. Inoltre, non possiamo sempre essere sicuri che questo comportamento non sia intenzionale, quindi potremmo bloccare il vostro sito per sicurezza. Per evitare malintesi, vi consigliamo di prestare attenzione quando mostrate questi loghi.
Riducete al minimo il numero di domini utilizzati dal sito, in particolare per gli accessi.
Chiedere un nome utente e una password per il sito X sembra molto sospetto sul sito Y. Oltre a rendere più difficile per noi la valutazione del vostro sito web, potreste insegnare inavvertitamente ai visitatori a ignorare gli URL sospetti, rendendoli più vulnerabili ai veri tentativi di phishing. Se la pagina di accesso deve essere su un dominio diverso da quello del sito principale, valutate la possibilità di utilizzare un proxy trasparente per consentire agli utenti di accedere a questa pagina dal dominio principale. Se tutte le altre opzioni non funzionano…
Semplificate la ricerca di link che rimandano alle vostre pagine
È difficile per noi (e per i vostri utenti) determinare chi controlla una pagina esterna al dominio nel vostro sito se i link che rimandano alla pagina dal sito principale sono difficili da trovare. Per risolvere questo problema, è sufficiente fare in modo che ogni pagina di un dominio esterno rimandi a una pagina del dominio che rimanda a essa. Se non lo avete fatto e una delle vostre pagine viene mostrata per errore nel nostro elenco, menzionate nel report sugli errori come possiamo trovare il link dal vostro sito principale alla pagina bloccata in modo errato. Tuttavia, se non fate nient'altro…
Non inviate link inusuali via email o messaggistica immediata
È quasi impossibile per noi verificare i link insoliti che compaiono nelle vostre email o nei vostri messaggi immediati. Peggio ancora, l'utilizzo di questi tipi di link influenza i vostri utenti/clienti/amici a fare clic su strani link che ricevono via email o messaggistica immediata, il che potrebbe metterli a rischio di altri crimini informatici online oltre al phishing.
Sebbene ci auguriamo che questi suggerimenti vengano considerati di buon senso, abbiamo notato che le principali aziende di e-commerce e finanziarie violano di tanto in tanto queste linee guida. Seguirle non solo migliorerà la vostra esperienza con i nostri sistemi antiphishing, ma aiuterà anche a offrire ai vostri visitatori un'esperienza online migliore.