A breve Chrome informerà gli utenti quando stanno visitando un sito diverso da quello che, molto probabilmente, avrebbero voluto raggiungere. Si pensi ai typosquatters ovvero a quei malintenzionati che dapprima registrano un nome a dominio molto simile a quello di aziende e servizi famosi per poi utilizzarli per avviare attività truffaldine. Qualche utente può cadere in errore ed essere spinto a inserire credenziali e dati personali ritenendo di trovarsi sul sito legittimo.
Per non parlare dei cosiddetti attacchi omografici: in questo caso i criminali informatici utilizzano caratteri speciali all’interno del nome a dominio che a una prima occhiata appaiono simili, per esempio, a quelli che contraddistinguono l’alfabeto latino.
La somiglianza può trarre in errore ben più di qualche utente, complici anche le modalità grafiche con cui vengono resi URL e link. Un esempio di attacco omografico di cui avevamo parlato a suo tempo: Truffa ai danni degli utenti di WhatsApp, Firefox e Safari: gli URL possono essere falsi.
Da oggi gli utenti di Canary possono digitare nella barra degli URL l’indirizzo speciale chrome://flags/#enable-lookalike-url-navigation-suggestions
. Attivando la corrispondente impostazione il browser mostrerà un avviso nel momento in cui si provasse a digitare un indirizzo web che differisce per poche lettere da quelli usati, per esempio dati siti più famosi, si pensi ai vari servizi Google, Microsoft, Amazon, PayPal e così via. Sotto la barra degli indirizzi comparirà l’indicazione: “Intendevi forse raggiungere…?“.
In Chrome 72 l’impostazione Navigation suggestions for lookalike URLs è già presente, segno evidente che la funzionalità verrà a breve portata al debutto, ma anche abilitandola per il momento non si riceve alcun avviso.
I tecnici di Google sembra stiano lavorando su un’idea che era già stata proposta a settembre: abbandonare l’utilizzo degli URL e la loro visualizzazione nel browser così come fatto sino ad oggi.
L’obiettivo, stando Emily Stark – responsabile degli aspetti di Chrome legati all’usabilità del prodotto -, non è certo quello di creare confusione bensì aiutare gli utenti a capire su quale sito si trovano davvero, non lasciandosi ingannare da URL creati ad arte da qualche malintenzionato.
La discussione è viva e non c’è ancora nulla di deciso: da parte nostra riteniamo che, soprattutto per gli utenti evoluti, gli URL – nella loro interezza, quindi insieme con i parametri che veicolano – siano risorse essenziali. Ben vengano nuovi strumenti per diffondere una maggiore consapevolezza ma l’alterazione delle modalità con cui gli URL vengono mostrati ci pare oggettivamente una forzatura.
Suggeriamo che la lettura dell’articolo Phishing, un quiz per riconoscere le email truffaldine.