Vedrai badge come "Norton Secured", "Microsoft Certified Partner" e "BBB Accredited Business" in tutto il Web, soprattutto quando scarichi software. Non dovresti fidarti ciecamente di un sito web che mostra tali badge: sono solo immagini che chiunque può copiare e incollare.
Consigli come "Se vedi un sigillo McAfee SECURE su un sito web, sai che è sicuro", è sbagliato e potenzialmente pericoloso. È conveniente per le aziende che vendono queste certificazioni, ma è un cattivo consiglio che potrebbe mettere le persone nei guai.
Sigilli fiduciari 101
Questi badge - tecnicamente chiamati "sigilli di fiducia" - sono solo immagini. Chiunque può copiare e incollare queste immagini e inserirle in qualsiasi pagina di download del software. Davvero, non possiamo sottolinearlo abbastanza. Sebbene un sigillo di approvazione possa sembrare elegante e ufficiale, non è diverso da una dichiarazione scritta nel testo. Se hai visto un file pagina di download del software dall'aspetto scammy detto, "Questo software è stato certificato senza virus da Symantec!", ti fideresti ciecamente? Ovviamente no! Naturalmente lo direbbero - chiunque può scriverlo.
Lo stesso vale per altri tipi di badge: sono esattamente la stessa cosa che scrivere "Siamo un partner Microsoft ufficiale", "CNET ha assegnato al nostro software un punteggio di scelta dell'editor di 5 stelle" o "Siamo un BBB attività accreditata con una valutazione A +. " Giustamente guarderesti queste dichiarazioni con sospetto se il sito web sembrava sospetto.
L'introduzione a questo articolo contiene una serie di sigilli che abbiamo appena copiato e incollato. Qualunque autore di malware o phisher potrebbe anche copiare e incollare questi loghi in pochi secondi. (Fortunatamente, la nostra riproduzione di questi sigilli rientra nel fair use perché li stiamo usando a scopo di critica. Qualcuno che copiasse questi sigilli per fuorviare le persone violerebbe la legge sul copyright.)
Come puoi anche verificarli?
In teoria, dovresti essere in grado di fare clic su tali badge e andare direttamente al sito Web che ha fornito il sigillo di approvazione. Il sito web del fornitore del sigillo ti informerebbe quindi se il sito web originale su cui ti trovavi è effettivamente attendibile.
Ecco come dovrebbe funzionare. In realtà, spesso non c'è modo di fare clic su tali badge per verificare che siano effettivamente ufficiali, anche sui siti che li utilizzano per scopi legittimi. Se sei davvero curioso se è vero, se un software è davvero una "scelta dell'editor di PCWorld" o un'azienda è accreditata dal Better Business Bureau - dovrai andare al sito web della società che fornisce il badge e fare una ricerca per scoprire se le affermazioni sono legittime.
Inutile dire che la maggior parte delle persone in realtà non farà questa ricerca. Invece, queste brillanti immagini di badge forniscono una lucentezza di legittimità su molte pagine di download di software. Possono essere utilizzati correttamente da molti sviluppatori di applicazioni, ma chiunque potrebbe facilmente appropriarsene per software dannoso e dannoso: i sigilli non significano nulla da soli.
Peggio ancora, una conferma ufficiale di quali siti sono legittimi potrebbe essere molto difficile da trovare. Microsoft certamente non fornisce un elenco facile da trovare di tutti i loro "partner certificati", ad esempio. Tuttavia, puoi fare clic su alcuni sigilli: assicurati che apra effettivamente il sito web del fornitore del sigillo e non una pagina di verifica dell'impostore.
I sigilli non significano quello che potresti pensare
RELAZIONATO: Non scaricare mai un'utilità di aggiornamento dei driver; Sono peggio che inutili
Dovresti anche considerare cosa significano effettivamente i sigilli. Ad esempio, il sigillo "Norton Secured" significa semplicemente che il sito web sta eseguendo quotidianamente scansioni di malware e vulnerabilità. Il badge BBB Accredited significa semplicemente che la società del sito web è registrata presso il Better Business Bureau. Una valutazione a 5 stelle da un sito di download di software significa semplicemente che un revisore in passato ha dato a quel programma una buona valutazione. Un badge "Microsoft Certified Partner" è ancora più confuso e non sembra avere alcun significato.
È importante sottolineare che questi badge non significano che Norton, un'altra società di antivirus, Better Business Bureau o Microsoft hanno provato il software e vi hanno apposto il loro timbro di approvazione.
Per esempio, software scammy per la pulizia del PC "MyCleanPC" mostra un badge "Verisign Secured" sul proprio sito web. Ciò significa semplicemente che hanno acquistato un certificato SSL da Verisign che verrà utilizzato per proteggere le tue informazioni di pagamento quando ti innamori dei loro trucchi e paghi.
L'inutile strumento di aggiornamento dei driver di Driverupdate.net proclama con orgoglio che proviene da un "Microsoft Gold Certified Partner", ma qualsiasi dipendente Microsoft degno di questo nome sconsiglierebbe di utilizzare questo strumento. Driverupdate.net ha anche la certificazione McAfee SECURE: non è tecnicamente malware, quindi passa.
Fidati dei nomi verdi nella barra degli indirizzi del tuo browser: tutto qui
RELAZIONATO: In che modo i browser verificano le identità dei siti Web e proteggono dagli impostori
L'unica cosa di cui ti puoi fidare è il tuo browser web. Se visualizza un nome verde accanto alla barra degli indirizzi, ciò conferma che il sito Web corrente ha avuto la sua identità verificata. Ad esempio, nello screenshot qui sotto, il nostro browser web ha confermato che questo è il vero sito della Bank of America. Bank of America ha subito un processo di verifica dell'identità. Ulteriori informazioni su questi certificati di "convalida estesa" e su come sono più affidabili dei certificati SSL tipici .
È importante sottolineare che puoi fidarti di questo perché viene visualizzato nel tuo browser. Non è solo un'immagine che può essere copiata e incollata su Internet. Un'immagine che appare su una pagina web non identifica davvero nulla da sola.
E anche in questo caso, questa verifica dell'identità significa semplicemente che il sito Web appartiene alla società a cui afferma di appartenere. Non significa necessariamente che l'azienda stessa o il suo software siano affidabili.
Sì, è vero che un sito web legittimo che mostra un falso sigillo riceverebbe reclami e sarebbe costretto a rimuoverlo. Ma non siamo preoccupati per i siti legittimi qui: siamo preoccupati per i siti fly-by-night che spingono malware e pagine di truffe di phishing. Questi sono i tipi di siti web che trarrebbero maggiori benefici dal furto di questi sigilli. Stanno già infrangendo la legge, quindi violare il copyright del fornitore del sigillo non è un problema per loro.
