Libero
SICUREZZA INFORMATICA

Chrome Android, nuovo pericolo: campagna phishing ruba i tuoi dati

Basta poco per imbrogliare Chrome e creare una pagina phishing con un (falso) URL del tutto legittimo. Ecco come funziona la nuova truffa e come difendersi

Hacker tenta di attaccare Chrome Fonte foto: Budrul Chukrut / Shutterstock.com

Tra i metodi più consigliati dagli esperti per capire se il sito su cui stiamo navigando è sicuro o, al contrario, si tratta di un sito fake messo in piedi dagli hacker per le solite finalità di phishing, c’è sicuramente quello di guardare bene alla barra degli indirizzi. Controllare la URL del sito è fondamentale per sapere se è veramente il sito che ci aspettiamo che sia, mentre il famoso lucchetto verde e la scritta “Https” ci garantiscono che si tratta di un sito con la crittografia attivata.

Ma tutte queste indicazioni, a quanto pare, potrebbero non bastare per farci navigare al sicuro. Lo ha scoperto lo sviluppatore Jim Fisher che, sul suo blog personale, ha dimostrato come è possibile creare su Chrome una falsa barra degli indirizzi che simula una URL sicura mentre nasconde la vera URL (del sito falso). In pratica si tratta di un banale stratagemma, di un trucchetto che ha a che fare con l’interfaccia grafica di Chrome e permette di nascondere la barra delle URL per trarci in inganno. Fisher ha anche pubblicato un video, in cui mostra il risultato di questo banale ma efficace trucchetto.

Come funziona la finta barra degli indirizzi

In sostanza, quando scorriamo verso il basso qualsiasi pagina in Chrome per Android, l’interfaccia utente superiore con la barra degli indirizzi viene nascosta alla vista. È una precisa scelta di Google, per aumentare lo spazio a disposizione per visualizzare i contenuti del sito. Ma Fisher ha scoperto che è possibile “imprigionare” lo scroll della pagina e fissare in alto una immagine che imita la barra degli indirizzi. Mostrando, ovviamente, un indirizzo falso. Nel video dimostrativo Fisher fa vedere come è possibile mascherare il suo sito “jameshfisher.com” facendolo passare per “hsbc.com“, cioè il sito di una delle banche più grandi al mondo. In estrema sintesi: appena apriamo la pagina si vedono la barra e l’indirizzo reali, ma se facciamo subito scroll non ce ne possiamo più accorgere.

I rischi della finta barra degli indirizzi

Per fortuna Google ha già dichiarato di essere al lavoro per risolvere questo difetto. Nel frattempo, però, qualunque cybercrimnale può approfittarne per lanciare campagne di phishing: basta inviare la solita e-mail truffaldina per spedire l’incauto utente sul sito “truccato“. Qui l’utente avrà l’impressione di trovarsi su un sito ufficiale e, se avrà qualche dubbio, andrà a guardare la URL. Che, però, sarà falsa rafforzando l’idea che il sito sia del tutto legittimo.

Come difendersi dal phishing della barra degli indirizzi

In realtà, per fortuna, c’è un secondo trucchetto che può smascherare il primo. Se blocchiamo il nostro smartphone premendo il pulsante di accensione e poi lo sblocchiamo, infatti, Chrome per Android ridisegnerà tutta la pagina sin dall’inizio mostrando anche la vera barra degli indirizzi con la vera URL. Che sparirà nuovamente appena facciamo uno scroll in basso. Ma se ci fermiamo per un attimo a guardarla essa si mostrerà per quello che è: la barra degli indirizzi di un sito fake messo in piedi per rubarci i nostri dati personali.