->Pillole di sicurezza informatica

Pillole di sicurezza informatica

Pubblicato il: 24 Luglio 2025

Pillole di sicurezza informatica

Per navigare in sicurezza sul web: attenzione all’URL!

Oggi parliamo di un aspetto “tecnico”, ma che poi troppo tecnico non è… visto che ogni giorno navighiamo in internet.
Cosa facciamo in automatico, senza troppo pensarci, per visitare un sito? apriamo il browser, digitiamo un indirizzo o clicchiamo su un link e via verso la nostra destinazione finale.

In pratica scriviamo, incolliamo un testo che specifica l'indirizzo di una risorsa su internet, come una pagina web, un'immagine o un file, ossia in termini tecnici un URL (Uniform Resource Locator, in italiano "Indirizzo di Risorsa Uniforme") ossia una stringa che viene utilizzato dai browser e da altri software per individuare e accedere alle risorse online.

Il fatto è che spesso non ci rendiamo conto, che proprio quell’indirizzo, l’URL può nascondere insidie importanti per la nostra sicurezza digitale.

Ricordiamoci sempre che la barra degli indirizzi del browser è molto più di un semplice campo di testo, è la porta d'accesso al mondo online e comprenderne l'uso corretto è essenziale per proteggere la propria sicurezza digitale.

In questo articolo proviamo a spiegarvi come leggere correttamente un URL, quali sono gli errori comuni che possono portare a cadere in trappole informatiche (phishing, malware, furti di dati) e come proteggerci – anche e soprattutto quando si naviga dal proprio smartphone.

Un dato che dovrebbe far riflettere è questo: negli ultimi 12 mesi, il 67% degli attacchi di phishing ha utilizzato tecniche di manipolazione degli URL, rendendo questo argomento estremamente di attualità.

Un URL è composto da diverse parti, tra cui:

· Protocollo di comunicazione (es. http:// o https://): è il metodo di accesso alla risorsa; nello specifico possiamo avere:

https:// (sicuro, crittografato, è presente anche un lucchetto chiuso)
http:// (non sicuro, vulnerabile, da evitare)

Dal 2023, oltre il 95% del traffico web è cifrato, ma ancora vediamo attacchi che

sfruttano connessioni HTTP non protette, specialmente in reti Wi-Fi pubbliche.

· Dominio (es. www.esempio.com): identifica il server che ospita la risorsa.

o .com: dominio di 1° livello

o esempio: domino di 2° livello

o www: dominio di 3° livello

Il dominio (esempio.it) è il vero indicatore dell’identità del sito.

I criminali informatici lo sanno bene, e cercano di trarre in inganno con domini “simili” a quelli legittimi, cambiando una lettera, usando un trattino, o sfruttando domini di primo livello diversi (.com invece di .it, ecc.).

· Percorso (es. /pagina.html): specifica la posizione della risorsa sul server.

o www.esempio.com/pagina.html

· Parametri (opzionali, es. ?id=123): forniscono informazioni aggiuntive per la richiesta.

Esempi truffaldini (URL falsificati):

Legittimo: https://www.intesaonline.it
Falso: https://www.intesa-onIine.com (notare la i che è in realtà una L maiuscola)
Legittimo:google.com
Falso: go0gle.com - gooogle.com
Legittimo: bankofamerica.com
Falso: bankofarnerica.com - bank-of-america.com

Questi link NON SONO LA STESSA COSA:

https://account.google.com/ServiceLogin

https://account.google.com.ServiceLogin.it/

· nel primo caso abbiamo:
https:// account.google.com/service

· nel secondo caso abbiamo:

https://account.google.com.Servicelogin.it

qui il dominio non è account google.com ma bensì service login.it che quindi porta ad un indirizzo diverso

Come tutelarsi:

Leggere attentamente l’URL a cui stiamo accedendo
Controllare attentamente l'ortografia del dominio
Diffidare di link con variazioni sottili nel nome
Fare clic con il pulsante destro sul link e scegliere «Copia collegamento ipertestuale» dal menu che si apre; copiare il link in un documento word o del blocco note per esaminare il link

Attenzione inoltre ai certificati SSL di sicurezza, questi sono gli elementi da controllare:

Lucchetto chiuso nella barra degli indirizzi
https:// all'inizio dell'URL
Certificato di sicurezza valido, è sufficiente cliccare sul lucchetto per visualizzare le informazioni

Errori comuni e rischi

· Cliccare su link sospetti ricevuti via email, SMS o WhatsApp

Molti attacchi partono da messaggi che ti spingono a cliccare su link che sembrano legittimi. Questo è il phishing. Il sito finto può assomigliare a quello di una banca, di Amazon o della tua posta PEC.

· Ignorare l’assenza di HTTPS

Un sito che non usa HTTPS può essere più facilmente intercettato. Evita di inserire dati personali o credenziali in siti non sicuri.

· Affidarsi completamente a Google o al copia/incolla

Talvolta si clicca sul primo risultato di Google senza pensarci. Ma anche nei risultati sponsorizzati (annunci a pagamento) si nascondono truffe. Verifica sempre il dominio prima di cliccare.

E gli smartphone?

Il rischio aumenta.

Lo schermo è piccolo, i link spesso vengono accorciati (es. bit.ly/xyz123), pertanto visualizzare il dominio completo non è sempre semplice.

Inoltre App e browser mobili possono mascherare indirizzi completi

Ecco alcune buone pratiche da adottare ogni giorno:

Tieni premuto su un link per vedere dove porta prima di aprirlo.
Verifica sempre il dominio prima di inserire dati.
Evita di cliccare su link accorciati a meno che la fonte sia affidabile (e anche in quel caso, meglio controllare).
Abilita la visualizzazione dell’URL completo nel browser (es. in Chrome su Android, attiva la visualizzazione completa nella barra indirizzi).
Non cliccare mai su link sospetti ricevuti via email o messaggistica.
Digita manualmente l’indirizzo se hai dubbi, soprattutto per home banking o servizi sensibili.
Installa un’estensione anti-phishing nel browser
Aggiorna sempre browser e sistema operativo, anche su smartphone.
Fai attenzione anche ai QR Code: oggi vengono usati anche per indirizzarti a siti fraudolenti!
Usare password manager per gestire accessi
Installa un buon antivirus anche sullo smartphone: alcuni identificano siti malevoli in tempo reale.
App e browser mobili possono mascherare indirizzi completi