Immaginate la scena: qualcuno vi scrive su Telegram con un nome sconosciuto, vi lascia un link breve e scrive "urgente, dai un'occhiata". Oppure in una chat di lavoro qualcuno condivide surl.li/abcdef senza alcuna spiegazione. O ancora, vedete un codice QR su un palo in città con la scritta "sconto del 90%". Cosa fa una persona media? Esatto, ci clicca sopra. Perché è interessante. Perché potrebbe davvero trattarsi di uno sconto. Perché un collega l'ha condiviso, quindi è normale.
E quello che succede dopo è una lotteria. A volte si tratta di un vero sconto. A volte è un sito di phishing che imita la tua banca. A volte è il download automatico di qualcosa di sgradevole. A volte si tratta semplicemente di raccogliere dati su di te: indirizzo IP, dispositivo, geolocalizzazione.
Un link breve, per sua stessa natura, nasconde l'URL finale. Questo è al tempo stesso il suo principale vantaggio (compattezza, praticità) e la sua principale vulnerabilità (nessuno sa dove conduca). Ma c'è una buona notizia: controllare un link prima di cliccarci sopra è molto più facile di quanto sembri. E ci vuole letteralmente un minuto.
Perché i link brevi sono pericolosi?
Innanzitutto, un po' di teoria per capire di cosa stiamo parlando:
Un link normale è trasparente. Si vede il dominio, si vede il percorso, si capisce a grandi linee dove si arriverà. https://privatbank.ua/login è chiaro, ma https://privat-bank-login.ru/secure è già sospetto e la maggior parte delle persone se ne accorgerà.
Il link abbreviato non è trasparente. https://surl.li/abcdef non dice nulla sull'URL finale. Potrebbe essere il sito web ufficiale di Privatbank, oppure una sua copia esatta su un dominio russo. L'unica differenza tra i due è la posizione del reindirizzamento, che non è possibile verificare.
È proprio questo che usano gli hacker. Campagne di phishing, email di spam, malware: tutti questi metodi utilizzano attivamente link abbreviati per aggirare i filtri e ridurre i sospetti. Una persona vede un link breve e ordinato, non un URL lungo e inquietante con un dominio sospetto, e abbassa la guardia.
Metodo 1: Espandere i collegamenti prima di navigare
Il metodo più semplice e ovvio è quello di controllare la pagina a cui conduce un link prima di cliccarci sopra. Ci sono diversi modi per farlo:
Trucco con Bitly. Se vedi un link da Bitly (formato bit.ly/xxxxx), aggiungi + alla fine dell'URL e aprilo in un browser. Ad esempio, bit.ly/3xKm9pQ+. Invece di un reindirizzamento, vedrai una pagina di statistiche con l'URL finale.
Servizi di distribuzione online. Esistono strumenti specifici che permettono di inserire un link abbreviato e ottenere l'URL finale senza dover eseguire alcun processo. Uno di questi è https://surl.li/en/check-short-url . Inserisci un link sospetto, clicca su "verifica" e scopri dove porta, ancor prima che il browser effettui un singolo reindirizzamento. Comodo, veloce e non richiede alcuna installazione.
Passa il mouse sopra il link nel browser. Se il link è presente sulla pagina come testo cliccabile, è sufficiente posizionare il mouse sopra di esso e l'URL effettivo apparirà nell'angolo in basso a sinistra del browser. Tuttavia, questo metodo non è adatto ai dispositivi mobili.
Metodo 2: Verifica il dominio finale
Hai espanso il link e visualizzato l'URL finale, ma non fermarti qui. Ora devi valutare il dominio stesso. Cosa cercare:
Somiglianza con un marchio noto, con piccole modifiche. privatbank.ua è un dominio reale, mentre privat-bank.ua, privatbank.com e privatbank-secure.xyz sono molto probabilmente tentativi di phishing. Questa pratica è chiamata typosquatting: viene registrato un dominio simile a uno noto per attirare gli utenti.
Dominio di primo livello insolito. Se la tua banca o il tuo servizio sono sempre stati registrati su .ua o .com e il link porta a .ru, .xyz, .tk o .ml, dovresti diffidare. I domini di primo livello gratuiti sono ampiamente utilizzati per siti di phishing temporanei.
Niente HTTPS. Entro il 2026, qualsiasi sito legittimo che raccolga dati utilizzerà HTTPS. Se il link porta a http:// senza la "s", è un buon motivo per chiudere la scheda.
Struttura URL poco chiara. Un sito bancario affidabile non ha un indirizzo del tipo secure-login.verification-id-12345.com/privatbank/auth. I siti legittimi presentano una struttura URL chiara e comprensibile.
Metodo 3: Utilizzare uno strumento di verifica della reputazione degli URL
Se non vuoi solo visualizzare l'URL finale, ma anche verificare se è noto per essere dannoso, esistono strumenti per controllarne la reputazione:
Navigazione sicura di Google. Integrata in Chrome e nella maggior parte dei browser moderni. Se un sito è noto per essere un sito di phishing o contenere malware, il browser visualizzerà un avviso. Tuttavia, si tratta di una misura reattiva, poiché Google non viene a conoscenza di un sito pericoloso in tempo reale.
VirusTotal. Un servizio gratuito che permette di incollare un URL e di farlo controllare simultaneamente da oltre 70 database antivirus. Mostra se qualcuno di questi ha rilevato un problema. Particolarmente utile per i link appena pubblicati e non ancora aggiunti a Google Safe Browsing.
Verifica Whois e del dominio. Se il dominio è stato registrato una settimana fa, questo è un forte segnale d'allarme. I siti di phishing non durano a lungo, vengono bloccati rapidamente, quindi i truffatori ne registrano di nuovi. Puoi verificare la data di registrazione del dominio tramite qualsiasi servizio Whois.
Metodo 4: Sandbox – aprire i link in isolamento
A volte è necessario aprire un link, ma si desidera farlo in modo sicuro. Per questo esistono le cosiddette "sandbox": ambienti isolati in cui il sito viene caricato senza accedere al dispositivo dell'utente.
La modalità di navigazione in incognito offre una protezione minima. Non salva cookie e dati di sessione, ma non protegge affatto da codice dannoso.
Sandbox per browser. Servizi come Browserling o Any.run consentono di aprire un URL in un browser remoto e vedere cosa succede, senza mettere a rischio il proprio dispositivo. La pagina viene visualizzata sullo schermo, ma l'interazione reale avviene sui loro server.
Un dispositivo separato o una macchina virtuale. Se ti occupi di sicurezza o di test, è consigliabile utilizzare una macchina virtuale separata o un vecchio telefono esclusivamente per aprire link sospetti.
Per l'utente medio, l'utilizzo di un ambiente sandbox può sembrare un po' eccessivo. Tuttavia, se si riceve un link da una fonte sconosciuta che riguarda finanze, password o informazioni personali, è meglio essere prudenti.
Segnali d'allarme: quando è assolutamente meglio non spingere
Esistono situazioni in cui non è necessaria alcuna verifica: il link non deve essere aperto affatto.
Mittente sconosciuto + link breve senza contesto. Se una persona di cui non ti fidi o che non conosci affatto ti invia un link senza alcuna spiegazione, la probabilità che sia qualcosa di utile per te è praticamente nulla.
Pressione e urgenza. "Urgente!", "solo per oggi", "il tuo account verrà bloccato" sono classici stratagemmi manipolativi. I servizi legittimi non si comportano in questo modo.
Un premio o una vincita inaspettata. Non ti sei iscritto a nessun concorso, ma hai "vinto un iPhone"? Non è una coincidenza, è ingegneria sociale.
Link SMS provenienti da una "banca" o da un "servizio di consegna". Le banche vere inviano SMS da numeri ufficiali e non ti chiedono mai di cliccare su un link per inserire la password o i dati della carta. I servizi di consegna potrebbero inviare link di tracciamento, ma se non hai ordinato nulla, non si tratta del tuo pacco.
Cosa fare se ti sei già trasferito
Beh, a volte la mano scatta più velocemente di quanto il cervello pensi. Non c'è bisogno di farsi prendere dal panico, ma bisogna agire:
Se la pagina richiede di inserire dati, non inserire nulla e chiudi la scheda. Di solito, la semplice apertura della pagina non è critica; il pericolo inizia con l'inserimento di dati o il download di file.
Se scarichi qualcosa, non aprire il file. Esegui immediatamente una scansione antivirus oppure, se non ne hai uno, scarica la versione gratuita di Malwarebytes ed esegui una scansione.
Se hai inserito una password, cambiala immediatamente sul servizio di cui il sito si spacciava. Se la stessa password viene utilizzata altrove, cambiala ovunque. Ecco perché avere password diverse per ogni servizio non è una questione di paranoia, ma una necessità.
Se hai inserito i dati della tua carta, chiama la tua banca e bloccala. È meglio richiedere una nuova carta e rimanere senza per qualche giorno piuttosto che impiegare mesi per ottenere un rimborso.
Come i servizi di accorciamento link stanno combattendo questa situazione
I servizi di accorciamento link responsabili comprendono che la loro piattaforma può essere utilizzata non solo da operatori di marketing onesti. Per questo motivo, i servizi legittimi – e Surli è tra questi – dispongono di un proprio sistema di moderazione e verifica dei link per individuare eventuali attività dannose. I link che conducono a siti di phishing o dannosi noti vengono bloccati a livello di piattaforma.
Questo però non significa che si possa scaricare completamente la responsabilità sul servizio. Nuovi siti dannosi compaiono costantemente e c'è sempre un lasso di tempo tra la loro creazione e il momento in cui vengono bloccati. Pertanto, la propria vigilanza e i controlli tramite https://surl.li/en/check-short-url non sono un eccesso di paranoia, ma una saggia abitudine.
Riassunto: La regola dei due secondi
Verificare un link abbreviato prima di cliccarci sopra non richiede più di due secondi, se si sa come fare. Basta incollarlo nello strumento di verifica, visualizzare l'URL finale e valutare il dominio con un semplice sguardo. Tutto qui.
Non è difficile e non richiede alcuna conoscenza tecnica. Richiede solo un'abitudine, proprio come controllare il mittente prima di aprire un allegato email. Tutti abbiamo imparato a non aprire allegati sconosciuti. È ora di imparare a non cliccare su link poco chiari senza almeno una minima verifica.
Perché un clic nel posto sbagliato può costare molto più di quei due secondi che si volevano risparmiare.
