martedì 30 novembre 2010

Facebook sfruttato per nuovi e più sofisticati attacchi di phishing



La scorsa settimana alcuni cracker hanno lanciato un attacco contro gli utenti di Facebook, rubando password ad alcuni dei 500 milioni di iscritti al social network. In particolare i Security Labs di Websense hanno rilevato che Facebook viene sfruttato per visualizzare pagine phishing e per reindirizzare ad altre pagine malevole situate su altri server.


Solitamente le tecniche per quanto riguarda l'aspetto grafico si limitano all'andare sul sito di cui si vuole realizzare la copia truccata, selezionarne il sorgente, copiarlo in una pagina html e al posto dei link di login standard andargli a sostituire link ad azioni di login su uno script (di solito in php) che si copia da qualche parte (in un file di testo) i dati immessi nel form. Di seguito vengono riportati due esempi di tentativi di phishing attraverso false email che sembrano provenire da Facebook Security. Il primo messaggio chiede agli utenti di confermare il proprio account:

Fonte: www.websense.com

Questo è molto simile agli altri attacchi di phishing rilevati ogni giorno, ma in realtà la pagina malevola è caricata all’interno del sito Facebook, utilizzando un iframe. Il tag iframe consente agli sviluppatori di inserire frame all'interno della pagina come se si trattasse di oggetti qualsiasi. In altri termini, i frame in linea non devono necessariamente essere inseriti ai bordi della pagina (come per i frame tradizionali) ma in qualsiasi punto del documento. Questo metodo fa sembrare il messaggio maggiormente legittimo rispetto ad un sito ospitato su un altro dominio.

Fonte: www.websense.com
Il secondo messaggio è simile, ma è presente un secondo URL alla fine. Cliccando il link l’utente accede al sito www.facebook.com dove però viene reindirizzato ad un altro sito Web che contiene una pagina phishing. Queste due tipologie di attacco rendono più difficile individuare il contenuto malevolo direttamente dall’email. Entrambi i messaggi fanno, infatti, riferimento ad un URL di Facebook valido. Inoltre, l’inserimento di URL validi di Facebook rende più difficile la protezione degli utenti attraverso soluzioni anti-spam e Web filtering che si basano sull’analisi dell’URL per classificare i contenuti. 

A quanto pare, dalle nostre verifiche, uno degli URL non è più funzionante ma questo non prescinde dal fatto che bisogna alzare la soglia d'attenzione, in quanto i link presenti nelle false email - come è chiaramente mostrato - presentano come parte iniziale dell'indirizzo www.facebook.com, dunque anche un utente più smaliziato potrebbe essere tratto in inganno. Websense, Inc. è una società leader mondiale nelle soluzioni integrate per la sicurezza Web, sicurezza dei dati e la sicurezza email. Websense nasce come un’azienda produttrice di soluzioni per il Web filtering per poi estendere e potenziare i suoi punti di forza attraverso l’individuazione e la classificazione dei contenuti, funzioni ora integrate nell’intera gamma dei suoi prodotti. Per ulteriori informazioni sulla società andate al Profilo Aziendale.

1 commento: