Posta certificata e phishing: meglio passare a EV-SSL

Dopo il lancio di PostaCertificat@, il nuovo servizio che mette gratuitamente a disposizione di tutti i cittadini maggiorenni che ne facciano richiesta, una casella di posta elettronica certificata (PEC), gli esperti stanno iniziando a valutarne gli aspetti prettamente tecnici. Marco Giuliani, malware analyst di Prevx, ci ha inviato alcune osservazioni sul funzionamento di “PostaCertificat@” offrendo una serie di considerazioni relative ad aspetti legati alla sicurezza.
Il servizio appena lanciato dal Governo (ved. questo nostro articolo), offre due modalità per l’accesso alla propria casella PEC: via web, attraverso il portale “PostaCertificat@“, oppure ricorrendo ad un qualsiasi client e-mail (le impostazioni da specificare nei campi “server di posta in arrivo” e “server di posta in uscita” sono riportate in questa pagina).

Come purtroppo succede quotidianamente nel caso dei siti web dei più famosi istituti bancari, anche il portale “PostaCertificat@” potrebbe essere preso di mira per attacchi di tipo “phishing”. Attraverso la PEC transiteranno informazioni particolarmente “sensibili”: si tratterà per buona parte di dati che avranno carattere strettamente personale e che riguarderanno, in prima persona, il singolo cittadino. Secondo Giuliani, truffatori ed aggressori vedranno nella possibilità di accedere agli account PEC altrui un’ottima opportunità per sottrarre illecitamente dati personali. Per ingannare gli utenti, quindi, verranno posti in essere i soliti espedienti che consistono, ad esempio, nella creazione di siti web truffaldini che espongono indebitamente la grafica del portale “legittimo”. I cittadini che dovessero cadere nella trappola potrebbero così rivelare a terzi senza scrupoli le proprie credenziali di accesso all’account PEC.

” (ved., in figura, cosa succede nel caso di Mozilla Firefox). L’utente, vedendo questo cambio di colore, potrà essere sicuro dell’identità del sito web e potrà continuare ad inserire i propri dati con ancor più tranquillità.
Per non far insospettire l’utente, infatti, i malintenzionati che pongono in essere attacchi phishing fanno sempre più uso del protocollo https:// e quindi di certificati DV-SSL che non richiedono alcuna verifica sull’identità del proprietario.

Il suggerimento appannaggio degli utenti meno esperti, che spesso viene ricordato, consiste nel controllare la presenza del famoso “lucchetto” nella barra degli indirizzi del browser. Tale indicazione visiva attesta l’uso del protocollo https://. Questo consiglio, come abbiamo appena evidenziato, non è però più sufficiente.
I cosiddetti certificati DV-SSL (Domain Validated SSL) vengono rilasciati previa esclusiva verifica della proprietà del dominio sul quale il certificato verrà installato. Alcune società mettono a disposizione certificati DV-SSL a titolo completamente gratuito: i “phishers” hanno così vita nettamente più facile avendo l’opportunità di utilizzare un certificato valido a tutti gli effetti. L’identità non è in alcun modo verificata dal momento che il controllo si limita alla proprietà del sito web.

Ecco quindi la necessità di guardare ai certificati EV-SSL che forniscono un livello di sicurezza nettamente superiore. In questo caso il fornitore del certificato verifica l’identità del richiedente garantendola con la massima certezza.
Attenzione quindi, come ricordato ormai da un sempre maggior numero di esperti, a non dare troppa fiducia alla comparsa della dizione https:// nella barra degli indirizzi del browser web. A meno che questa si colori di verde, ad informare circa l’utilizzo di un certificato EV-SSL.

Per questi motivi Giuliani auspica la pronta adozione di un certificato EV-SSL su un portale, come quello di “PostaCertificat@“, che ambisce a gestire dati appartenenti a 50 milioni di italiani.