HTTPS: il lucchetto verde che ti inganna e che piace agli hacker

Pensi che il blocco HTTPS ti protegga, ma è un falso senso di sicurezza. Scopri come i criminali informatici lo usano per rubare i tuoi dati e come proteggerti davvero.

Per anni vi è stato detto: "Cercate il lucchetto per sapere se un sito web è sicuro". Questo consiglio è obsoleto e pericoloso. La verità è che gli hacker usano quel simbolo di fiducia per attirarvi nelle loro trappole. Vi spiegheremo perché.

Cosa significa realmente il lucchetto HTTPS?

Per anni, la raccomandazione di sicurezza più comune per navigare su internet è stata quella di cercare il piccolo lucchetto verde e l'acronimo "HTTPS" nella barra degli indirizzi del browser. Ci è stato insegnato che questo fosse il simbolo di un sito web sicuro. Tuttavia, questa idea, sebbene ben intenzionata, è diventata pericolosamente fuorviante.

La verità è che HTTPS (Hypertext Transfer Protocol Secure) garantisce solo una cosa: che la connessione tra il tuo dispositivo e il server del sito web sia crittografata. Ciò significa che tutti i dati inviati, come password o numeri di carte di credito, viaggiano in forma crittografata, impedendo a un intermediario, ad esempio qualcuno connesso alla stessa rete Wi-Fi pubblica, di intercettarli e leggerli.

Per comprendere meglio questo concetto, si può usare una semplice analogia: inviare una lettera in una busta sigillata. La crittografia HTTPS è la busta. Garantisce che nessuno possa leggere il contenuto della lettera durante il trasporto. Tuttavia, non garantisce in alcun modo che l'indirizzo del destinatario sia legittimo o che la persona che riceve la lettera sia onesta. Potresti inviare le tue informazioni più sensibili in una busta perfettamente sigillata alla tana di un truffatore.

La strategia del predatore: come gli aggressori usano la tua fiducia

I criminali informatici sono pienamente consapevoli di questa diffusa percezione e la sfruttano a proprio vantaggio. Oggigiorno, ottenere un certificato SSL/TLS, che attiva il blocco HTTPS, è un processo rapido, economico e persino gratuito. Gli aggressori sfruttano questa facilità per installare questi certificati sui loro siti web fraudolenti, principalmente dedicati al phishing.

Creano cloni quasi perfetti di siti web bancari, piattaforme di social media, servizi di posta elettronica o negozi online. Includendo il lucchetto HTTPS, creano un'apparenza di affidabilità che inganna milioni di utenti.

L'effetto psicologico è immediato e devastante. Un utente riceve un'email che sembra provenire dalla sua banca, clicca sul link, vede il lucchetto verde e presume di essere su un sito sicuro. Senza esitazione, inserisce nome utente e password. In quel momento, le sue credenziali vengono rubate.

Per anni si è detto che se un sito web ha un blocco HTTPS, è 'sicuro'. E sì, HTTPS garantisce che la connessione [...] sia crittografata, ma questo non significa che il sito web sia legittimo o affidabile.

Casi reali: quando il lucchetto è l'esca

Gli esempi di questo tipo di truffa stanno diventando sempre più frequenti e sofisticati.

* Phishing bancario classico: un utente riceve un SMS urgente dalla propria banca che lo avvisa di un accesso non autorizzato al proprio conto. Il messaggio include un link per "verificare la tua identità". La pagina a cui reindirizza è una copia esatta del sito web della banca e, ovviamente, è protetta da un blocco HTTPS. La vittima, spinta dall'urgenza, inserisce i propri dati e perde il controllo del proprio conto.

* Malware camuffato da strumento di intelligenza artificiale: una recente campagna ha sfruttato la popolarità dell'intelligenza artificiale DeepSeek per distribuire malware. Gli aggressori hanno creato un sito web falso che imitava quello ufficiale, completo di blocco HTTPS, per indurre gli utenti a scaricare una presunta versione dello strumento. In realtà, stavano installando un trojan progettato per rubare tutte le loro informazioni personali e finanziarie. Questo caso dimostra che anche gli utenti più esperti di tecnologia possono essere ingannati dalla falsa apparenza di sicurezza.

La verità, senza mezzi termini: come proteggersi dalla verità

Fidarsi ciecamente del blocco HTTPS è un errore. La vera sicurezza online richiede un approccio più critico e proattivo. Ecco tre passaggi chiave:

* Educa i tuoi occhi e verifica l'URL: prima di inserire qualsiasi informazione, è fondamentale controllare l'indirizzo web (URL) nella barra del browser. I siti fraudolenti spesso utilizzano domini simili all'originale ma contenenti errori di battitura (ad esempio, banco-seguro.co invece di banco.com), sottodomini fuorvianti o suffissi strani. Fai attenzione a qualsiasi URL che non corrisponda esattamente al servizio ufficiale.

* Utilizza strumenti di protezione: le moderne soluzioni di sicurezza informatica vanno oltre il semplice antivirus. È consigliabile utilizzare software che includano filtri DNS, analisi della reputazione del dominio in tempo reale e protezione degli endpoint che verifichi la sicurezza dei link prima di cliccarci sopra.

* Applica il buon senso: la tecnologia rappresenta un livello di protezione, ma il giudizio umano è il più importante. Fai sempre attenzione alle offerte che sembrano troppo belle per essere vere, ai messaggi che creano un falso senso di urgenza e a qualsiasi richiesta inaspettata di informazioni sensibili. La pratica più sicura è digitare sempre manualmente l'indirizzo del sito web nel browser invece di cliccare sui link ricevuti via email, SMS o messaggistica.

Quello che un tempo era un indicatore di fiducia difficile da ottenere è ora un altro strumento nell'arsenale dei truffatori. La sicurezza non risiede più in un simbolo, ma nello scetticismo informato e nella verifica costante.