L'articolo è a cura di Maurizio Taglioretti, country manager di GFI Italia.
1. Le informazioni "chi siamo" di un sito sono sospette: la data mostra che il sito è stato registrato nei giorni o nelle settimane precedenti, non contiene riferimenti o contatti o viene segnalato come "domain by proxy".
Molti siti malevoli esistono solo per pochi giorni prima di venire cancellati dall'Internet service provider in seguito a lamentele da parte delle vittime. Quindi, per dare un'occhiata alle informazioni 'chi siamo' prima di effettuare un acquisto può realmente valere la pena di navigare sul sito Whois.domaintools.com/
DomainTools o altri siti sono molto semplici da utilizzare. Si effettua il semplice taglia e incolla del dominio del sito che stiamo controllando e si clicca su "lookup". Il nome del dominio è la prima parte dell'URL. Quindi, il dominio nell'URL dei prodotti GFI sarebbe: www.gfi.com.
Le informazioni su GFI mostrano un indirizzo reale (a Malta) con numeri di telefono attivi e una data di creazione che risale al 1995. L'azienda esiste da oltre 15 anni e pubblicizza i propri contatti per consentire a chiunque di mettersi in contatto in caso di necessità.
2. Il sito accetta un numero di carta di credito fasullo e conferma l'avvenuta transazione.
Questa è un'indicazione concreta del fatto che la pagina di conferma del pagamento è fasulla e realizzata al fine di rubare le informazioni della carta di credito. I numeri non sono infatti inseriti a caso, ma creati da un algoritmo e solo alcuni sono legittimi. Le reali pagine di pagamento sono collegate alle società che emettono le carte di credito e controllano l'autenticità del conto corrente prima di accettare il pagamento.
Le pagine di pagamento fasulle accettano invece le informazioni ( e le rubano) ma non sono in grado di autenticare il conto corrente dato che - non essendo clienti - non dispongono dei collegamenti ai relativi database.
3. Mostra una pagina di login ma l'URL non combacia con il sito.
Sarebbe opportuno effettuare un controllo dell'URL reale che sta dietro ai link di una pagina web posizionandovi sopra il cursore e verificando l'URL indicato nella barra inferiore del browser.
Qui di seguito un esempio. Come si può vedere nel codice sorgente HTML, il link reale è MaliciousSite.ru, ma ciò che viene mostrato sulla pagina è HappyBank.com
Così è come appare nel browser quando il cursore viene posizionato sopra il link HappyBank.com.
4. Il sito contiene errori di battitura, di grammatica o descrizioni troppo lunghe o confuse dei servizi offerti.
È abbastanza sospetto se un'azienda non è in grado di scrivere correttamente alcune cose come, ad esempio, il nome del proprio prodotto di punta. Qui di seguito un esempio:
http://sunbeltblog.blogspot.com/2010/10/antivirus-action-standart-rogue.html
5. Il sito è all'interno di uno dei seguenti domini:
- co.cc
- co.tv
- cz.cc
- uni.cc
Desideriamo sottolineare che ci sono siti legittimi all'interno di questi domini e la registrazione di per sé non è indicazione di frode o codice malevolo. Tuttavia, si è verificato che un numero eccessivamente elevato di siti appartenenti a questi domini è saltato all'occhio dei ricercatori di codice malevolo. Se per caso si arriva su un sito all'interno di uno di questi quattro domini, suggeriamo di verificare gli indicatori sopra evidenziati.