Passaggi per identificare e proteggere se stessi da siti Web ingannevoli (contraffatti) e da collegamenti ipertestuali dannosi

Quando si punta a un collegamento ipertestuale in Internet Explorer, Outlook, l'indirizzo del sito Web viene in genere visualizzato nella barra di stato nella parte inferiore della finestra. Dopo aver selezionato un collegamento che si apre in Internet Explorer, l'indirizzo del sito Web viene in genere visualizzato nella barra degli indirizzi di Internet Explorer e il titolo della pagina Web viene in genere visualizzato nella barra del titolo della finestra.

Tuttavia, un utente malintenzionato potrebbe creare un collegamento a un sito Web ingannevole (contraffatto) che visualizza l'indirizzo, o URL, a un sito Web legittimo nella barra di stato, nella barra degli indirizzi e nella barra del titolo. Questo articolo descrive i passaggi che è possibile eseguire per attenuare questo problema e per identificare un URL o un sito Web ingannevole (contraffatto).

Versione originale del prodotto: Internet Explorer
Numero KB originale: 833786

Ulteriori informazioni

Questo articolo illustra i passaggi che è possibile eseguire per proteggere se stessi da siti Web contraffatti. Per riepilogare, questi passaggi sono:

• Verificare che sia presente un'icona di blocco nella barra degli indirizzi r e verificare il nome del server che fornisce la pagina visualizzata prima di digitare informazioni personali o sensibili. Se si notano errori nella barra degli indirizzi, vedere Errori del certificato: domande frequenti.
• Non selezionare collegamenti ipertestuali non attendibili. Digitarli manualmente nella barra degli indirizzi.

Operazioni che è possibile eseguire per proteggersi dai siti Web contraffatti

Assicurarsi che il sito Web usi Secure Sockets Layer/Transport Layer Security (SSL/TLS) e controllare il nome del server prima di digitare eventuali informazioni riservate.

SSL/TLS viene in genere usato per proteggere le informazioni durante il viaggio attraverso Internet crittografandole. Tuttavia, serve anche a dimostrare che si inviano dati al server corretto. Controllando il nome dell'utente del certificato digitale per SSL/TLS, è possibile verificare il nome del server che fornisce la pagina visualizzata. A tale scopo, verificare che l'icona di blocco venga visualizzata nella barra degli indirizzi della finestra del browser.

Per verificare il nome del server visualizzato nel certificato digitale, selezionare l'icona di blocco e quindi controllare il nome visualizzato accanto a Rilasciato a. Se il sito Web non usa SSL/TLS, non inviare informazioni personali o sensibili al sito. Se il nome visualizzato accanto a Rilasciato a è diverso dal nome del sito che si ritiene fornisca la pagina visualizzata, chiudere il browser per uscire dal sito. Per altre informazioni su come eseguire questa operazione, vedere Proteggere se stessi da schemi di phishing e altre forme di frode online.

Operazioni che è possibile eseguire per proteggersi da collegamenti ipertestuali dannosi

Il passaggio più efficace che è possibile eseguire per proteggersi da collegamenti ipertestuali dannosi è quello di non selezionarli. Digitare invece l'URL della destinazione desiderata nella barra degli indirizzi manualmente. Digitando manualmente l'URL nella barra degli indirizzi, è possibile verificare le informazioni usate da Internet Explorer per accedere al sito Web di destinazione. A tale scopo, digitare l'URL nella barra degli indirizzi e quindi premere INVIO.

Alcune operazioni che è possibile eseguire per identificare i siti contraffatti quando il sito Web non usa SSL/TLS

Il passaggio più efficace che è possibile eseguire per verificare il nome del sito che fornisce la pagina visualizzata consiste nel verificare il nome in un certificato digitale usando SSL/TLS. Tuttavia, se il sito non usa SSL/TLS, non è possibile verificare definitivamente il nome del sito che fornisce la pagina visualizzata. Tuttavia, ci sono alcune cose che è possibile fare che, in alcuni casi, può aiutare a identificare i siti spoofed.

Provare a identificare l'URL della pagina Web corrente

Per provare a identificare l'URL del sito Web corrente, usare i metodi seguenti.

Usare il riquadro Cronologia di Internet Explorer per tentare di identificare l'URL effettivo per il sito Web corrente

Negli scenari testati da Microsoft, è anche possibile usare la barra di Esplora cronologia in Internet Explorer per identificare l'URL di una pagina Web. Scegliere Barra di Explorer dal menu Visualizza e quindi selezionare Cronologia. Confrontare l'URL nella barra degli indirizzi con l'URL visualizzato nella barra Cronologia. Se non corrispondono, è probabile che il sito Web si presenti erroneamente e potrebbe essere necessario chiudere Internet Explorer.

Incollare l'URL nella barra degli indirizzi di una nuova istanza di Internet Explorer

È possibile incollare l'URL nella barra degli indirizzi di una nuova istanza di Internet Explorer. In questo modo, potrebbe essere possibile verificare le informazioni che Internet Explorer userà per accedere al sito Web di destinazione. Negli scenari testati da Microsoft è possibile copiare l'URL visualizzato nella barra degli indirizzi e incollarlo nella barra degli indirizzi di una nuova sessione di Internet Explorer per verificare le informazioni che Internet Explorer userà effettivamente per accedere al sito Web di destinazione. Questo processo è simile al passaggio illustrato nella sezione Operazioni che è possibile eseguire per proteggersi da siti Web contraffatti più indietro in questo articolo.

Per incollare l'URL nella barra degli indirizzi di una nuova istanza di Internet Explorer, seguire questa procedura:

1. Selezionare il testo nella barra degli indirizzi, fare clic con il pulsante destro del mouse sul testo e quindi scegliere Copia.
2. Chiudere Internet Explorer.
3. Avviare Internet Explorer.
4. Selezionare nella barra degli indirizzi fare clic con il pulsante destro del mouse e quindi scegliere Incolla.
5. Premere INVIO.

Alcune operazioni che è possibile eseguire per identificare collegamenti ipertestuali dannosi

L'unico modo per verificare le informazioni che Internet Explorer userà per accedere al sito Web di destinazione consiste nel digitare manualmente l'URL nella barra degli indirizzi. Tuttavia, esistono alcune operazioni che è possibile eseguire, in alcuni casi, possono aiutare a identificare un collegamento ipertestuale dannoso.

Provare a identificare l'URL che verrà usato da un collegamento ipertestuale

Per provare a identificare l'URL che verrà usato da un collegamento ipertestuale, seguire questa procedura:

1. Fare clic con il pulsante destro del mouse sul collegamento e quindi scegliere Copia collegamento.
2. Fare clic su Start, quindi scegliere Esegui.
3. Digitare blocco note e quindi selezionare OK.
4. Nel menu Modifica nel Blocco note selezionare Incolla.

In questo modo, è possibile visualizzare l'URL completo per qualsiasi collegamento ipertestuale ed è possibile esaminare l'indirizzo che Internet Explorer userà. L'elenco seguente mostra alcuni dei caratteri che possono essere visualizzati in un URL che potrebbe causare uno spoofing del sito Web:

• %00
• %01
• @

Ad esempio, verrà aperto http://example.comun URL del modulo seguente, ma l'URL nella barra degli indirizzi o nella barra di stato in Internet Explorer può essere visualizzato come http://www.wingtiptoys.com:

http://www.wingtiptoys.com%01@example.com

Altri passaggi che è possibile eseguire

Sebbene queste azioni non aiutino a identificare un sito Web o un URL ingannevole (spoofing), possono contribuire a limitare i danni causati da un attacco riuscito da un sito Web contraffatto o da un collegamento ipertestuale dannoso. Tuttavia, limitano i messaggi di posta elettronica e i siti Web nell'area Internet dall'esecuzione di script, controlli ActiveX e altri contenuti potenzialmente dannosi.

• Usare le zone di contenuto Web per evitare che i siti Web che si trovano nell'area Internet eseguano script, eseguano controlli ActiveX o eseguano altri contenuti dannosi nel computer. Impostare innanzitutto il livello di sicurezza dell'area Internet su Alto in Internet Explorer. A tale scopo, seguire questa procedura:

  1. Nel menu Strumenti fare clic su Opzioni Internet.
  2. Selezionare la scheda Sicurezza , selezionare Internet e quindi selezionare Livello predefinito.
  3. Spostare il dispositivo di scorrimento su Alto e quindi selezionare OK.

  Aggiungere quindi gli URL per i siti Web attendibili all'area Siti attendibili. A tale scopo, seguire questa procedura:

  1. Nel menu Strumenti selezionareOpzioni Internet.
  2. Fare clic sulla scheda Protezione.
  3. Selezionare Siti attendibili.
  4. Selezionare Siti.
  5. Se i siti da aggiungere non richiedono la verifica del server, deselezionare la casella di controllo Richiedi verifica server (https:) per tutti i siti in questa zona .
  6. Digitare l'indirizzo del sito Web da aggiungere all'elenco Siti attendibili .
  7. Selezionare Aggiungi.
  8. Ripetere i passaggi 6 e 7 per ogni sito Web da aggiungere.
  9. Selezionare due volte OK.

  Leggere messaggi di posta elettronica in testo normale.

  Leggendo il messaggio di posta elettronica in testo normale, è possibile visualizzare l'URL completo di qualsiasi collegamento ipertestuale ed esaminare l'indirizzo che verrà usato da Internet Explorer. Di seguito sono riportati alcuni dei caratteri che possono essere visualizzati in un URL che potrebbe causare uno spoofing del sito Web:

  • %00
  • %01
  • @

  Per altre informazioni su come eseguire questa operazione, vedere Leggere i messaggi di posta elettronica in testo normale.

• Ad esempio, verrà aperto http://example.comun URL del modulo seguente, ma l'URL visualizzato nel testo del messaggio di posta elettronica potrebbe mostrare http://www.wingtiptoys.com:

  http://www.wingtiptoys.com%01@example.com

Riferimenti

Per altre informazioni sugli URL (Uniform Resource Locators), vedere https://www.w3.org/Addressing/URL/url-spec.txt.

Dichiarazione di non responsabilità di contatti di terze parti

Microsoft fornisce informazioni di contatto di terze parti per aiutarti a trovare ulteriori informazioni su questo argomento. Queste informazioni di contatto sono soggette a modifica senza preavviso. Microsoft non garantisce l'accuratezza delle informazioni di contatto di terze parti.