I siti Web possono utilizzare falle di sicurezza nei browser o nei plugin del browser per evitare queste sandbox. I siti Web dannosi tenteranno anche di utilizzare tattiche di social engineering per ingannarti.
Plugin del browser insicuri
La maggior parte delle persone che vengono compromesse attraverso i browser sono compromesse attraverso i plugin dei loro browser. Oracle's Java è il colpevole peggiore e più pericoloso. Apple e Facebook hanno recentemente compromesso i computer interni perché accedevano a siti Web contenenti applet Java dannose. I loro plugin Java avrebbero potuto essere completamente aggiornati - non avrebbe importanza, perché le ultime versioni di Java contengono ancora vulnerabilità di sicurezza senza patch.
Per proteggersi, è necessario disinstallare completamente Java. Se non puoi perché hai bisogno di Java per un'applicazione desktop come Minecraft, dovresti almeno disabilitare il plugin del browser Java per proteggerti.
Altri plug-in del browser, in particolare i plug-in Adobe Flash Player e PDF Reader, devono regolarmente patchare le vulnerabilità della sicurezza. Adobe è diventato migliore di Oracle nel rispondere a questi problemi e nell'applicare i loro plug-in, ma è ancora normale sentire parlare di una nuova vulnerabilità di Flash sfruttata.
I plugin sono obiettivi succosi. Le vulnerabilità nei plugin possono essere sfruttate su tutti i diversi browser con il plugin su tutti i diversi sistemi operativi. Una vulnerabilità del plugin Flash potrebbe essere utilizzata per sfruttare Chrome, Firefox o Internet Explorer in esecuzione su Windows, Linux o Mac.
Per proteggersi dalle vulnerabilità dei plugin, attenersi alla seguente procedura:
- Usa un sito web come il plug-in di Firefox per vedere se hai qualche plugin scaduto. (Questo sito Web è stato creato da Mozilla, ma funziona anche con Chrome e altri browser.)
- Aggiorna immediatamente eventuali plug-in non aggiornati. Tienili aggiornati assicurando che gli aggiornamenti automatici siano abilitati per ogni plug-in che hai installato.
- Disinstalla i plugin che non usi. Se non usi il plugin Java, non dovresti averlo installato. Ciò aiuta a ridurre la "superficie di attacco": la quantità di software che il tuo computer ha a disposizione per essere sfruttato.
- Prendi in considerazione l'utilizzo della funzione plug-in click-to-play in Chrome o Firefox, che impedisce l'esecuzione dei plug-in, tranne quando li richiedi specificamente.
- Assicurati di utilizzare un antivirus sul tuo computer. Questa è l'ultima linea di difesa contro una vulnerabilità "zero-day" (una nuova vulnerabilità senza patch) in un plug-in che consente a un utente malintenzionato di installare software dannoso sul proprio computer.
Fori di sicurezza del browser
Le vulnerabilità della sicurezza nei browser Web possono anche consentire a siti Web dannosi di compromettere il computer. I browser Web hanno in gran parte ripulito il loro operato e le vulnerabilità di sicurezza nei plugin sono attualmente la principale fonte di compromessi.
Tuttavia, è necessario mantenere il browser aggiornato comunque. Se si utilizza una versione vecchia e non patch di Internet Explorer 6 e si visita un sito Web meno affidabile, il sito Web potrebbe sfruttare vulnerabilità di sicurezza nel browser per installare software dannoso senza autorizzazione.
Proteggersi dalle vulnerabilità della sicurezza del browser è semplice:
- Mantieni aggiornato il tuo browser web. Tutti i principali browser ora controllano automaticamente gli aggiornamenti. Lascia la funzione di aggiornamento automatico abilitata per rimanere protetta. (Internet Explorer si aggiorna da solo tramite Windows Update. Se utilizzi Internet Explorer, rimanere aggiornato sugli aggiornamenti per Windows è molto importante.)
- Assicurati di eseguire un antivirus sul tuo computer. Come con i plugin, questa è l'ultima linea di difesa contro una vulnerabilità zero-day in un browser che consente al malware di arrivare sul tuo computer.
Trucchi di ingegneria sociale
Le pagine Web dannose cercano di indurti a scaricare e ad eseguire malware. Spesso lo fanno usando "social engineering" - in altre parole, cercano di compromettere il tuo sistema convincendoti a lasciarli entrare sotto falsi pretesti, non compromettendo il tuo browser o i plugin stessi.
Questo tipo di compromesso non si limita al tuo browser: i messaggi di posta elettronica dannosi potrebbero anche indurti ad aprire allegati non sicuri oa scaricare file non sicuri. Tuttavia, molte persone sono infettate da tutto, da adware e barre di browser ostili a virus e trojan tramite trucchi di social engineering che si svolgono nei loro browser.
Controlli ActiveX: Internet Explorer utilizza i controlli ActiveX per i relativi plug-in del browser. Qualsiasi sito Web può richiedere di scaricare un controllo ActiveX. Questo può essere legittimo: ad esempio, potrebbe essere necessario scaricare il controllo ActiveX del lettore Flash la prima volta che si riproduce un video Flash online. Tuttavia, i controlli ActiveX sono come qualsiasi altro software sul tuo sistema e hanno il permesso di lasciare il browser web e accedere al resto del tuo sistema. Un sito Web pericoloso che spinge un controllo ActiveX pericoloso potrebbe dire che il controllo è necessario per accedere ad alcuni contenuti, ma potrebbe effettivamente esistere per infettare il tuo computer. In caso di dubbi, non accettare di eseguire un controllo ActiveX.
- Download automatico dei file: Un sito Web dannoso può tentare di scaricare automaticamente un file EXE o un altro tipo di file pericoloso sul computer nella speranza che venga eseguito. Se non hai richiesto specificamente un download e non sai di cosa si tratta, non scaricare un file che si apre automaticamente e ti chiede dove salvarlo.
- Link di download falsi: Su siti Web con cattive reti pubblicitarie o siti Web in cui vengono rilevati contenuti piratati, spesso vengono visualizzati annunci che imitano i pulsanti di download. Questi annunci pubblicitari cercano di indurre le persone a scaricare qualcosa che non cercano mascherandosi come un vero e proprio link per il download. Ci sono buone probabilità che link come questo contengano malware.
" Hai bisogno di un plugin per guardare questo video": Se incappi in un sito Web che dice che devi installare un nuovo plug-in del browser o un codec per riprodurre un video, fai attenzione. Potresti aver bisogno di un nuovo plugin per il browser per alcune cose - ad esempio, hai bisogno del plug-in Silverlight di Microsoft per riprodurre video su Netflix - ma se sei su un sito Web meno affidabile che ti chiede di scaricare ed eseguire un file EXE in modo da poter giocare i loro video, c'è una buona possibilità che stiano cercando di infettare il tuo computer con software dannoso.
" Il tuo computer è infetto": È possibile che vengano visualizzati messaggi pubblicitari che indicano che il computer è infetto e si richiede di scaricare un file EXE per ripulire la situazione. Se scarichi questo file EXE ed eseguirlo, il tuo computer sarà probabilmente infetto.
Questa non è una lista esaustiva. Le persone dannose sono costantemente alla ricerca di nuovi modi per ingannare le persone.
Come sempre, l'esecuzione di un antivirus può aiutarti a proteggerti se scarichi accidentalmente un programma dannoso.
Questi sono i modi in cui l'utente medio del computer (e anche i dipendenti di Facebook e Apple) fanno "hackerare" i loro computer tramite i loro browser. La conoscenza è potere e queste informazioni dovrebbero aiutarti a proteggerti online.
