Ingegneria sociale (siti di phishing e ingannevoli)

Il termine "ingegneria sociale" indica un tipo di manipolazione in cui dei contenuti ingannevoli inducono i visitatori a compiere un'azione pericolosa online, ad esempio rivelare informazioni riservate o scaricare un software. Se Google rileva che il tuo sito web include contenuti di ingegneria sociale, potrebbe mostrare agli utenti l'avviso "Sito ingannevole in vista" quando questi cercano di accedervi nel browser Chrome. Puoi controllare se Google ritiene che alcune pagine del tuo sito contengano attacchi di ingegneria sociale consultando il rapporto Problemi di sicurezza.

Apri il rapporto Problemi di sicurezza

Che cos'è l'ingegneria sociale?

Un attacco di ingegneria sociale consiste nell'indurre con l'inganno un utente a compiere un'azione pericolosa sul Web.

Esistono diversi tipi di attacchi di ingegneria sociale:

  • Phishing: il sito induce con l'inganno gli utenti a rivelare le proprie informazioni personali (ad esempio password, numeri di telefono o dati delle carte di credito). In questo caso, gli autori dei contenuti fingono di essere entità attendibili, ad esempio un browser, un sistema operativo, una banca o un ente statale.
  • Contenuti ingannevoli: i contenuti cercano di indurre con l'inganno l'utente a compiere un'azione che si farebbe solo per un'entità fidata, ad esempio condividere una password, chiamare l'assistenza tecnica o scaricare un software. Altre volte i contenuti mostrano un annuncio che afferma falsamente che il software del dispositivo è obsoleto, chiedendo agli utenti di installare software indesiderato.
  • Servizi di terze parti etichettati in modo non sufficiente: un servizio di terze parti gestisce un sito o un servizio per conto di un'altra entità. Se tu (terza parte) gestisci un sito per conto di un'altra parte (parte proprietaria) senza dichiarare in modo esplicito questo rapporto, ciò potrebbe essere segnalato come ingegneria sociale. Se tu (parte prioritaria) gestisci un sito web di beneficenza che utilizza un altro sito per raccogliere le donazioni (terza parte), questo sito deve identificarsi chiaramente come piattaforma di terze parti che agisce per conto del tuo sito di beneficenza; in caso contrario, la collaborazione potrebbe essere considerata ingegneria sociale.

Google Navigazione sicura protegge gli utenti del Web avvisandoli prima che visitino pagine coinvolte costantemente in attività di ingegneria sociale.

Le pagine web sono considerate ingegneria sociale quando:

  • Fingono di comportarsi come entità attendibili o ne assumono l'aspetto, ad esempio il tuo dispositivo o browser oppure lo stesso sito web; oppure
  • Tentano di indurti con l'inganno a compiere un'azione che svolgeresti solo per un'entità attendibile, ad esempio condividere una password, chiamare un numero di assistenza tecnica o scaricare software.

Ingegneria sociale in contenuti incorporati

L'ingegneria sociale può anche apparire in contenuti incorporati in siti altrimenti innocui, generalmente all'interno di annunci. I contenuti di ingegneria sociale incorporati rappresentano una violazione delle norme per la pagina host.

A volte i contenuti di ingegneria sociale incorporati sono visibili agli utenti nella pagina host, come mostrato negli esempi che seguono. In altri casi il sito host non contiene annunci visibili, ma indirizza gli utenti a pagine con contenuti di ingegneria sociale tramite popup, pop-under o altri tipi di reindirizzamento. In entrambi i casi questo tipo di contenuti incorporati rappresenta una violazione delle norme per la pagina host.

Ma io non ho mai compiuto attacchi di ingegneria sociale!

I contenuti di ingegneria sociale ingannevoli potrebbero essere inclusi tramite risorse incorporate nelle pagine, ad esempio immagini, componenti di terze parti o annunci. Tali contenuti potrebbero indurre i visitatori del sito a scaricare un software indesiderato.

Inoltre gli hacker potrebbero assumere il controllo di siti innocui al fine di utilizzarli per ospitare o diffondere contenuti di ingegneria sociale. L'hacker potrebbe modificare i contenuti del sito o aggiungere altre pagine, spesso con l'intento di indurre con l'inganno i visitatori a fornire informazioni personali quali i numeri delle carte di credito. Per scoprire se il tuo sito è stato identificato come sito web che ospita o diffonde contenuti di ingegneria sociale, consulta il rapporto Problemi di sicurezza di Search Console.

Se ritieni che il tuo sito sia stato compromesso, leggi la nostra guida per i siti compromessi.

Esempi di violazioni in materia di ingegneria sociale

Esempi di contenuti ingannevoli

Ecco alcuni esempi di pagine che compiono attacchi di ingegneria sociale:

Popup di ingegneria sociale che tenta di indurre l'utente a installare un'applicazione indesiderata.
Popup ingannevole che cerca di indurre l'utente a installare malware.

Esempio di tentativo di ingegneria sociale con finta necessità di aggiornamento del browser.
Popup ingannevole che induce l'utente ad aggiornare il browser

Pagina di accesso Google contraffatta.
Pagina di accesso Google contraffatta

Esempi di annunci ingannevoli

Di seguito sono riportati alcuni esempi di contenuti ingannevoli all'interno di annunci incorporati. A prima vista, questi annunci sembrano fare parte dell'interfaccia della pagina.

Annuncio ingannevole che finge di essere un aggiornamento del media player nella pagina.
Popup ingannevole che indica all'utente che il software non è aggiornato.

Annuncio ingannevole che finge di essere un programma di installazione per un componente obbligatorio.
Popup ingannevole che finge di provenire dallo sviluppatore FLV

Annunci ingannevoli che fingono di essere pulsanti del controller di riproduzione nella pagina host.
Annunci che si spacciano per pulsanti di azione.

Risolvere il problema

Se il tuo sito è segnalato per contenuti di ingegneria sociale (contenuti ingannevoli), assicurati che la pagina non compia attacchi con nessuna delle pratiche descritte sopra, quindi procedi come riportato di seguito:

  1. Verifica in Search Console.
    • Verifica di essere il proprietario del tuo sito in Search Console e che non siano stati aggiunti nuovi proprietari sospetti.
    • Controlla il rapporto Problemi di sicurezza per vedere se il tuo sito è elencato tra i siti con contenuti ingannevoli (il termine di segnalazione per l'ingegneria sociale). Visita alcuni degli URL segnalati nel rapporto da un computer esterno alla rete su cui è pubblicato il tuo sito web (gli hacker più astuti potrebbero disattivare gli attacchi se pensano che il visitatore sia il proprietario del sito web).
  2. Rimuovi i contenuti ingannevoli. Assicurati che nessuna pagina del tuo sito includa contenuti ingannevoli. Se ritieni che la funzione Navigazione sicura abbia classificato una pagina web in modo erroneo, segnalalo qui.
  3. Controlla le risorse di terze parti incluse nel tuo sito. Assicurati che le pagine del tuo sito non abbiano annunci, immagini o risorse di terze parti incorporate che risultino ingannevoli.
    • Tieni presente che le reti pubblicitarie potrebbero far ruotare gli annunci mostrati nelle pagine del tuo sito. Potrebbe quindi essere necessario aggiornare la pagina alcune volte prima che tu possa visualizzare gli annunci di ingegneria sociale.
    • Alcuni annunci possono avere un aspetto diverso sui dispositivi mobili e sui computer desktop. Puoi utilizzare lo strumento Controllo URL per visualizzare il tuo sito sia per dispositivi mobili che per desktop.
    • Segui le linee guida per i servizi di terze parti descritte di seguito per ogni servizio di terze parti che utilizzi nel tuo sito, come i servizi di pagamento.
  4. Richiedi un controllo. Dopo avere rimosso tutti i contenuti di ingegneria sociale dal tuo sito, puoi richiedere un controllo della sicurezza nel rapporto Problemi di sicurezza. La verifica può richiedere diversi giorni.

Linee guida per i servizi di terze parti

Se includi un servizio di terze parti nel tuo sito, devi soddisfare le seguenti condizioni per evitare che venga etichettato come ingegneria sociale:

  • Su ogni pagina, il sito di terze parti deve chiaramente includere il brand della terza parte per fare in modo che gli utenti capiscano chi gestisce il sito. Ad esempio, il brand di terze parti può essere incluso nella parte superiore della pagina.
  • In ogni pagina che contiene il branding della parte proprietaria, dichiara esplicitamente il rapporto esistente tra la parte proprietaria e la terza parte. Inoltre, fornisci un link che dia ulteriori informazioni. Ad esempio, includi una dichiarazione come la seguente:

    Questo servizio è ospitato da Example.com per conto di Example.charities.com. Ulteriori informazioni

Un'utile linea guida per l'usabilità è verificare se un utente che naviga in una pagina isolata capisce sempre su che sito si trova e qual è la relazione tra la parte proprietaria e la terza parte.